次の方法で共有

Microsoft Entra Internet Access の Microsoft Global Secure Access 展開ガイド

  • [アーティクル]

Microsoft Global Secure Access は、ネットワーク、ID、エンドポイントのアクセス制御を集約し、任意の場所、デバイス、または ID からアプリまたはリソースに安全にアクセスできます。 これにより、企業の従業員のアクセス ポリシー管理が有効になり、調整されます。 プライベート アプリ、サービスとしてのソフトウェア (SaaS) アプリ、および Microsoft エンドポイントへのユーザー アクセスをリアルタイムで継続的に監視および調整できます。 このソリューションは、アクセス許可とリスク レベルの変更が発生したときに適切に対応するのに役立ちます。

Microsoft Entra Internet Access を使用すると、マネージド デバイスを使用するエンタープライズ ユーザーがローカルまたはリモートで作業するときに、インターネット アクセスを制御および管理できます。 それがあなたの役に立ちます。

  • 悪意のあるインターネット トラフィックやマルウェア感染からエンタープライズ ユーザーと管理対象デバイスを保護します。
  • ユーザーが Web カテゴリまたは完全修飾ドメイン名に基づいてサイトにアクセスできないようにします。
  • レポート用のインターネット使用状況データを収集し、調査をサポートします。

この記事のガイダンスは、運用環境 Microsoft Entra Internet Access をテストして展開するのに役立ちます。 Microsoft Global Secure Access 展開ガイドの概要 では、Global Secure Access デプロイ プロジェクトを開始、計画、実行、監視、終了する方法に関するガイダンスを提供します。

主要なユース ケースを特定して計画する

Microsoft Entra Internet Access を有効にする前に、必要な操作を計画してください。 次のようなユース ケースを理解して、デプロイする機能を決定します。

  • サービス経由でルーティングされるすべてのインターネット アクセス トラフィックに適用されるベースライン ポリシーを定義します。
  • 特定のユーザーとグループが管理対象デバイスを使用してカテゴリ別に Web サイトにアクセスできないようにします (アルコール、タバコ、ソーシャル メディアなど)。 Microsoft Entra Internet Access には、60 を超えるカテゴリが用意されており、そこから選択できます。
  • ユーザーとグループがマネージド デバイスを使用して特定の完全修飾ドメイン名 (FQDN) にアクセスできないようにします。
  • オーバーライド ポリシーを構成して、ユーザーのグループが、Web フィルタリング ルールによってブロックされるサイトにアクセスできるようにします。
  • グローバル セキュア アクセス クライアントを実行していないデバイスを含め、ネットワーク全体に Microsoft Entra Internet Access の機能を拡張する

ユース ケースで必要な機能を理解したら、ユーザーとグループをこれらの機能に関連付けるインベントリを作成します。 どの Web カテゴリと FQDN に対するアクセスをブロックまたは許可するユーザーとグループを理解します。 各ユーザー グループのルールの優先順位付けを含めます。

Microsoft Entra Internet Access をテストして展開する

この時点で、Secure Access Services Edge (SASE) デプロイ プロジェクトの開始と計画を完了しました。 誰に何を実装する必要があるかを把握しています。 各ウェーブで有効にするユーザーを定義しました。 各ウェーブの展開のスケジュールがあります。 ライセンス要件を満たしました。 Microsoft Entra Internet Access を有効にする準備ができました。

  1. グローバル セキュア アクセス の前提条件を完了してください。
  2. パイロット ユーザーを含む Microsoft Entra グループ を作成します。
  3. Microsoft Entra インターネット アクセスと Microsoft トラフィック転送プロファイルを有効にします。 パイロット グループを各プロファイルに割り当てます。

手記

Microsoft トラフィックは、独自の専用トンネル ゲートウェイを持つインターネット トラフィックのサブセットです。 最適なパフォーマンスを得られるように、インターネット アクセス トラフィック プロファイルを使用して Microsoft Traffic を有効にします。

  1. エンド ユーザー通信を作成して期待値を設定し、エスカレーション パスを提供します。

  2. ユーザー デバイスからグローバル セキュア アクセス クライアントを削除したり、トラフィック転送プロファイルを無効にしたりする場合の状況と手順を定義するロールバック 計画を作成します。

  3. エンド ユーザー通信を送信します。

  4. テストするパイロット グループのデバイスに、Windows 用の グローバル セキュリティで保護されたアクセス クライアントを展開します。

  5. スコープ内である場合、リモートネットワークを vWAN または VNG を使って構成します。

  6. 計画中に定義 ユース ケースに基づいてカテゴリまたは FQDN を許可またはブロックするように、 web コンテンツ フィルタリング ポリシーを構成します。

    • カテゴリ別にブロック: 多くの定義済みのマネージド カテゴリのいずれかをブロックするルールを定義します
    • FQDN でブロック: 指定した FQDN をブロックするルールを定義します
    • オーバーライド: 指定した Web カテゴリまたは FQDN を許可するルールを定義します

  7. 計画に基づいて Web コンテンツ フィルタリング ポリシーをグループ化し、優先順位を付ける セキュリティ プロファイル を作成します。

    • ベースライン プロファイル: ベースライン プロファイル機能を使用して、既定ですべてのユーザーに適用される Web コンテンツ フィルタリング ポリシーをグループ化します。
    • セキュリティ プロファイル: ユーザーのサブセットに適用される Web コンテンツ フィルター ポリシーをグループ化するセキュリティ プロファイルを作成します。

  8. 条件付きアクセス ポリシーを作成してリンクし、セキュリティ プロファイルをパイロット グループに適用します。 既定のベースライン プロファイルには、条件付きアクセス ポリシーは必要ありません。

  9. パイロット ユーザーに構成をテストさせます。

  10. グローバルセキュアアクセストラフィックログでアクティビティを確認します。

  11. 構成を更新して問題に対処し、テストを繰り返します。 必要に応じて、ロールバック 計画を使用します。

  12. 必要に応じて、エンド ユーザーの通信とデプロイ計画に対する変更を繰り返します。

パイロットが完了したら、運用環境のデプロイでユーザーの各ウェーブを進める方法を理解するための反復可能なプロセスが用意されています。

  1. ユーザーのウェーブを含むグループを特定します。
  2. スケジュールされたウェーブとその含まれるユーザーについてサポート チームに通知します。
  3. 計画に従って、準備されたエンド ユーザー通信を送信します。
  4. グループを Microsoft Entra Internet Access トラフィック転送プロファイルに割り当てます。
  5. このウェーブのユーザーのデバイスにグローバル セキュリティで保護されたアクセス クライアントを展開します。
  6. 必要に応じて、プランで定義したユース ケースに基づいてカテゴリまたは FQDN を許可またはブロックする、より多くの Web コンテンツ フィルタリング ポリシーを作成して構成します。
  7. 必要に応じて、計画に基づいて Web コンテンツ フィルタリング ポリシーをグループ化し、優先順位を付けるセキュリティ プロファイルをさらに作成します。
  8. 条件付きアクセス ポリシーを作成して、このウェーブ内の関連するグループに新しいセキュリティ プロファイルを適用するか、既存のセキュリティ プロファイルの既存の条件付きアクセス ポリシーに新しいユーザー グループを追加します。
  9. 構成を更新します。 問題に対処するためにもう一度テストします。 必要に応じて、ロールバック計画を開始します。
  10. 必要に応じて、エンド ユーザーの通信とデプロイ計画の変更を繰り返します。

次の手順