Microsoft グローバル セキュア アクセス展開ガイドの概要
Microsoft Global Secure Access は、Secure Access Service Edge (SASE) 戦略を成功させるために重要な要素です。 Microsoft Entra Internet Access、Microsoft Entra Private Access、Microsoft Traffic を備えています。 Microsoft の広大なプライベート ワイド エリア ネットワークと条件付きアクセス ポリシーへの投資を使用して、ネットワーク レベルで企業データをセキュリティで保護します。
グローバル セキュリティで保護されたアクセスの主な展開シナリオを次に示します。
- 既存の VPN ソリューションを、エンドポイントからアプリケーションへの安全な接続を提供する ゼロ トラスト ネットワーク アクセス (ZTNA) アプローチに置き換えます。
- Microsoft Traffic をセキュリティで保護し、オンサイトおよびリモートの従業員に対して監視します。
- オンサイトおよびリモートの従業員のインターネット トラフィックをセキュリティで保護し、監視します。
この展開ガイドは、Microsoft Global Secure Access の計画と展開に役立ちます。 ライセンス情報については グローバル セキュア アクセス ライセンスの概要 を参照してください。 ほとんどのサービスは一般公開 (GA) されていますが、サービスの一部はパブリック プレビュー段階にあります。
概念実証を実行する
概念実証 (PoC) を実行して、選択したソリューションに必要な機能と接続性が確実に提供されるようにします。
PoC for Microsoft Global Secure Access にデプロイする予定の機能に応じて、最大 7 時間が必要です。
- 前提条件の構成: 1 時間
- 初期製品の構成: 20 分
- リモート ネットワークの構成: 1 ~ 2 時間
- Microsoft Traffic プロファイルの展開とテスト: 1 時間
- Microsoft Entra Internet Access の展開とテスト: 1 時間
- Microsoft Entra プライベート アクセスの展開とテスト: 1 時間
- PoC を閉じる: 30 分
Global Secure Access プロジェクトを開始する
プロジェクトの開始は、成功したプロジェクトの最初のステップです。 プロジェクトの開始時に、Microsoft Global Secure Access を実装することにしました。 プロジェクトの成功は、要件を理解し、成功基準を定義し、適切なコミュニケーションを確保するかどうかによって異なります。 期待、成果、責任は必ず管理してください。
ビジネス要件、成果、成功基準を特定する
ビジネス要件、成果、成功基準を特定し、成功基準で何を達成する必要があるかを正確に明確にします。 例えば:
- このプロジェクトを達成するために必要な重要な結果は何ですか?
- VPN をどのように置き換える予定ですか?
- Microsoft トラフィックをセキュリティで保護する方法
- インターネット トラフィックをセキュリティで保護する方法
主要なシナリオを特定したら、詳細を確認します。
- ユーザーはどのアプリケーションにアクセスする必要がありますか?
- アクセス制御が必要な Web サイトはどれですか?
- 必須と省略可能なもの
このステージでは、スコープ内のユーザー、デバイス、および主要なアプリケーションを記述するインベントリを作成します。 VPN を置き換える場合は、まずクイック アクセスを使用して、ユーザーがアクセスする必要があるプライベート アプリケーションを特定し、Microsoft Entra Private Access で定義できるようにします。
スケジュールを定義する
予算と時間の制約内で目的の結果を達成した後、プロジェクトは成功します。 日付、四半期、または年で結果の目標を特定します。 利害関係者と協力して、結果の目標を定義する特定のマイルストーンを理解します。 各目標のレビュー要件と成功基準を定義します。 Microsoft Global Secure Access は継続的な開発段階にあるため、要件を機能開発ステージにマップします。
利害関係者を特定する
ZTNA プロジェクトで役割を果たすユーザーの利害関係者、役割、責任を特定して文書化します。 タイトルとロールは組織によって異なる場合があります。ただし、所有権の領域は似ています。 次の表の役割と責任を検討し、対応する利害関係者を特定します。 このようなテーブルをリーダーシップ、利害関係者、およびチームに配布します。
| 役割 | 責任 |
|---|---|
| スポンサー | 予算とリソースを承認または割り当てる権限を持つエンタープライズ シニア リーダー。 マネージャーとエグゼクティブ チームを接続します。 製品と機能の実装に関する技術的な意思決定者。 |
| 最終ユーザー | サービスを実施する対象の人々。 パイロット プログラムに参加できます。 |
| IT サポート マネージャー | 提案された変更のサポート可能性に関する入力を提供します。 |
| ID アーキテクト | 変更と ID 管理インフラストラクチャの連携方法を定義します。 現在の環境を理解します。 |
| アプリケーション ビジネス所有者 | アクセス管理を含む可能性のある影響を受けるアプリケーションを所有します。 ユーザー エクスペリエンスに関する入力を提供します。 |
| セキュリティ所有者 | 変更計画がセキュリティ要件を満たしていることを確認します。 |
| ネットワーク マネージャー | ネットワーク機能、パフォーマンス、セキュリティ、アクセシビリティを監視します。 |
| コンプライアンス マネージャー | 企業、業界、政府の要件に確実に準拠します。 |
| テクニカル プログラム マネージャー | プロジェクトを監督し、要件を管理し、作業ストリームを調整し、スケジュールと予算への準拠を確保します。 コミュニケーション計画とレポートを容易にします。 |
| SOC/CERT チーム | 脅威ハンティング ログとレポートの要件を確認します。 |
| テナント管理者 | プロジェクト全体で Microsoft Entra テナントの変更を担当する IT 所有者と技術リソースを調整します。 |
| デプロイ チーム | 展開タスクと構成タスクを実行します。 |
RACI グラフを作成する
実行責任者、説明責任者、相談先、報告先 (RACI) とは、ロールと責任の定義を指します。 プロジェクトおよび部門間または部門別のプロジェクトとプロセスの場合は、RACI チャートで役割と責任を定義し、明確にします。
- 開始点として、グローバル セキュア アクセス展開ガイド RACI テンプレート をダウンロードします。
- 責任者、説明責任者、相談者、通知先の役割と責任をプロジェクトの作業の流れに割り当てます。
- RACI チャートを関係者に配布し、割り当てを確実に理解します。
コミュニケーション プランを作成する
コミュニケーション計画は、利害関係者と適切に、積極的に、定期的にやり取りするのに役立ちます。
- 配置計画とプロジェクトの状態に関する関連情報を指定します。
- RACI チャートで各利害関係者への通信の目的と頻度を定義します。
- 情報を共有するメカニズムと共に、通信を作成して配布するユーザーを決定します。 たとえば、コミュニケーション マネージャーは、電子メールや指定された Web サイトでの保留中および現在の変更に関するエンド ユーザーを最新の状態に保ちます。
- ユーザー エクスペリエンスの変更と、ユーザーがサポートを受ける方法に関する情報を含めます。 エンド ユーザー通信テンプレートの例を参照してください。
変更管理計画を作成する
プロジェクト チームが情報と詳細を収集するため、プランは変更される可能性があります。 利害関係者に説明する変更管理計画を作成します。
- 変更要求のプロセスと手順。
- 変更の影響を理解する方法について説明します。
- レビューと承認に関する責任を負います。
- 変更により多くの時間や資金が必要な場合に何が起こるか。
適切な制御計画により、変更が必要な場合の対応をチームが確実に把握できます。
プロジェクト閉鎖計画を作成する
すべてのプロジェクトの終了には、プロジェクト後のレビューが必要です。 プロジェクトの有効期間を通じて正しいデータを定期的に収集できるように、このレビューに含めるメトリックと情報を特定します。 プロジェクト閉鎖計画を使用すると、Lessons Learned Summary を効率的に生成できます。
利害関係者のコンセンサスを得る
プロジェクトの開始タスクを完了したら、各利害関係者と協力して、計画が特定のニーズを満たしていることを確認します。 合意と書面による承認を文書化する正式な承認プロセスで、誤解や驚きを防ぎます。 リファレンス ドキュメントのスコープと詳細について説明するキックオフ 会議を開催します。
グローバル セキュア アクセス プロジェクトを計画する
詳細なプロジェクト スケジュールを作成する
プロジェクトの開始で特定したマイルストーンを使用して、詳細なプロジェクト スケジュールを作成します。 重要なマイルストーンを満たすためにコンティンジェンシー計画を使用して現実的な期待を設定します。
- 概念実証 (PoC)
- パイロット日付
- 起動日
- 配信に影響する日付
- 依存関係
プロジェクト スケジュールに次の情報を含めます。
日付、依存関係、およびクリティカル パスを含む詳細な作業の内訳構造
- 予想されるサポート負荷に基づいて、各ウェーブで切り取られるユーザーの最大数
- 各展開フェーズの時間枠(毎週月曜日にフェーズを切り替えるなど)
- 各デプロイ ウェーブ内の特定のユーザー グループ (最大数を超えないように)
- ユーザーが必要とするアプリ (またはクイック アクセスを使用する)
各タスクに割り当てられたチーム メンバー
リスク管理計画を作成する
日付と予算に影響を与える可能性のある不測の事態に備えるリスク管理計画を作成します。
- クリティカル パスと必須キーの結果を特定します。
- 作業ストリームのリスクについて理解します。
- バックアップ計画を文書化して、不測の事態が発生したときに追跡を続けます。
パフォーマンスの成功条件を定義する
許容されるパフォーマンス メトリックを定義して、デプロイが成功し、ユーザー エクスペリエンスがパラメーター内にあることを客観的にテストし、確認します。 次のメトリックを含めてみてください。
Microsoft Entra Private Access
定義されたパラメーター内のネットワーク パフォーマンスは何ですか?
- Global Secure Access ダッシュボード では、Microsoft Entra Private と Microsoft Entra Internet Access が取得するネットワーク トラフィックの視覚化が提供されます。 デバイス、ユーザー、テナントを含むネットワーク構成のデータをコンパイルします。
- Azure Monitor ログ の
ネットワーク監視を使用して、ネットワーク接続、ExpressRoute 回線の正常性、クラウド ネットワーク トラフィックを監視および分析します。
パイロット中に待機時間の増加に気付きましたか? アプリ固有の待機時間の要件はありますか?
キー アプリケーションへのシングル サインオン (SSO) は正常に動作していますか?
ユーザー満足度とユーザー受け入れアンケートを実行することを検討してください。
Microsoft トラフィック
定義されたパラメーター内のネットワーク パフォーマンスは何ですか?
- Global Secure Access ダッシュボード では、Microsoft Entra Private と Microsoft Entra Internet Access が取得するネットワーク トラフィックの視覚化が提供されます。 デバイス、ユーザー、テナントを含むネットワーク構成のデータをコンパイルします。
- Microsoft 365 ネットワーク評価 を使用して、ネットワーク パフォーマンス メトリックの集計をエンタープライズ ネットワーク境界の正常性のスナップショットに取り込みます。
- Microsoft 365 ネットワーク接続テスト を使用して、デバイスとインターネットの間、そこから Microsoft のネットワークへの接続を測定します。
パイロット中に待機時間が長くなることに気付きましたか?
ユーザー満足度アンケートを実行することを検討してください。
ユーザー受け入れアンケートを実行することを検討してください。
Microsoft Entra インターネットアクセス
定義されたパラメーター内のネットワーク パフォーマンスは何ですか?
- Azure Monitor ログの ネットワーク監視 を使用して、ネットワーク接続、ExpressRoute 回線の正常性を監視し、クラウド内のネットワーク トラフィックを分析します。
- Ookla による Speedtest - グローバル ブロードバンド速度テストを使用します。
- インターネット速度テストの使用 - ネットワーク パフォーマンスの測定 |Cloudflare.
トラフィックのブロックとフィルター処理は期待どおりに機能しますか?
ユーザー満足度とユーザー受け入れアンケートを実行することを検討してください。
ロールバック シナリオを計画する
運用環境の展開を進め、Microsoft の Security Service Edge を使用してユーザーの数を積極的に増やすと、エンド ユーザーに悪影響を与える予期しない、またはテストされていないシナリオが見つかることがあります。 悪影響に備える
- エンド ユーザーが問題を報告するプロセスを定義します。
- 特定のユーザーまたはグループのデプロイをロールバックするか、トラフィック プロファイルを無効にする手順を定義します。
- 問題の原因を評価し、修復手順を特定し、関係者に伝える手順を定義します。
- 運用環境のデプロイがユーザーの後続のウェーブに続く前に、新しい構成をテストする準備をします。
プロジェクト計画を実行する
アクセス許可を取得する
グローバル セキュア アクセス を操作する管理者に、正しいロールがに割り当てられていることを確認する。
IT サポート チームを準備する
ユーザーが質問や接続の問題がある場合にサポートを受ける方法を決定します。 IT サポート チームへの負荷を軽減するためのセルフサービス ドキュメントを開発します。 IT サポート チームが展開準備のためのトレーニングを受けられるようにします。 段階的な移行スケジュール、影響を受けるチーム、およびスコープ内アプリケーションを把握できるように、エンド ユーザー通信に含めます。 ユーザー ベースまたは IT サポート内で混乱を防ぐために、ユーザー サポート要求を処理してエスカレートするプロセスを確立します。
パイロット展開を実行する
運用環境の展開のスコープ内のユーザー、デバイス、アプリケーションを考えると、小規模な初期テスト グループから始めます。 段階的なロールアウトの通信、デプロイ、テスト、サポートのプロセスを微調整します。開始する前に、すべての 前提条件 を確認して確認します。
テナントでデバイスの登録を確認します。 Microsoft Entra デバイスの展開の計画ガイドラインに従ってください。 組織で Intune を使用している場合は、「Intuneでデバイスを管理およびセキュリティで保護する」のガイドラインに従ってください。
省略可能な要件に関する推奨事項
次の表のリソースは、省略可能な各要件の詳細な計画タスクと実行タスクを示しています。
| オプションの要件 | 資源 |
|---|---|
| Microsoft Traffic へのアクセスをセキュリティで保護します。 | Microsoft トラフィック展開プラン |
| VPN をゼロ トラスト ソリューションに置き換えて、プライベート アクセス トラフィック プロファイルでオンプレミスのリソースを保護します。 | Microsoft Entra Private Access 展開計画 |
| Microsoft Entra Internet Access トラフィック プロファイルを使用して、インターネット トラフィックをセキュリティで保護します。 | Microsoft Entra Internet Access 展開プラン |
パイロットには、必要なスコープ内のデバイスとアプリケーションをテストできる少数のユーザー (20 人未満) が含まれる必要があります。 パイロット ユーザーを特定したら、個別に、またはグループとしてトラフィック プロファイルに割り当てます (推奨)。 トラフィック転送プロファイルにユーザーとグループを割り当てるの詳細なガイダンスに従ってください。
特定された各スコープ内アプリケーションを体系的に処理します。 ユーザーがスコープ内デバイスで期待どおりに接続できることを確認します。 パフォーマンスの成功基準メトリックを観察して文書化します。 通信の計画とプロセスをテストします。 必要に応じて微調整と反復処理を行います。
パイロットが完了し、成功条件を満たしたら、サポート チームが次のフェーズに向けて準備ができていることを確認します。 プロセスと通信を最終処理します。 運用環境への展開に進みます。
運用環境に展開する
すべての計画とテストを完了した後、デプロイは、予想される結果を含む反復可能なプロセスである必要があります。
詳細については、関連するガイダンスを参照してください。
- Microsoft Traffic の Microsoft Global Secure Access 展開ガイド
- Microsoft Entra Internet Access の Microsoft Global Secure Access 展開ガイド
- Microsoft Entra Private Access の Microsoft Global Secure Access 展開ガイド
すべてのユーザーを Microsoft Global Secure Access に切り取るまで、ウェーブデプロイを繰り返します。 Microsoft Entra プライベート アクセスを使用している場合は、クイック アクセスが無効になり、グローバル セキュア アクセス アプリケーションを介してすべてのトラフィックが転送されます。
緊急アクセスの計画
グローバル セキュリティで保護されたアクセスがダウンしている場合、ユーザーは、グローバル セキュリティで保護されたアクセスに準拠したネットワーク チェックによってセキュリティで保護されたリソースにアクセスできません。 GsaBreakglassEnforcementスクリプト を使用すると、エンタープライズ管理者は、対応しているネットワーク条件付きアクセス ポリシーをレポート専用モードに切り替えることができます。 このスクリプトを使用すると、ユーザーはグローバル セキュア アクセスなしでそれらのリソースに一時的にアクセスできます。
グローバル セキュリティで保護されたアクセスが戻ったら、GsaBreakglassRecoveryスクリプト を使用して、影響を受けるすべてのポリシーを有効にします。
その他の考慮事項
- トラフィック 転送プロファイルにユーザーとグループを割り当てる トラフィック プロファイルからユーザーの割り当てを解除する方法に関する記事のガイダンスに従ってください。
- 問題のあるトラフィック プロファイルを無効にするには、「Microsoft トラフィック を有効にして管理する方法」のガイダンスに従ってください。
- 「グローバル セキュア アクセス アプリケーションを使用してアプリごとのアクセスを構成する方法」のガイダンスに従、問題のあるアプリ セグメントとそれぞれの条件付きアクセス ポリシーからユーザーとグループの割り当てを解除します。
グローバル セキュア アクセス プロジェクトを監視および制御する
プロジェクトを監視および制御してリスクを管理し、計画からの逸脱を必要とする可能性のある問題を特定します。 プロジェクトを追跡し、関係者への正確でタイムリーなコミュニケーションを確保します。 要件は常に正確に、時間どおり、予算内で完了します。
このフェーズの主な目的:
- 進行状況の監視。 タスクはスケジュールどおりに完了しましたか? そうでない場合は、なぜですか? 元の道に戻るにはどうすればいいですか?
- 問題の検出。 問題が発生しました (計画外のリソースの可用性やその他の予期しない課題など)。 必要な変更には変更注文が必要でしたか?
- 効率の監視。 定義されたプロセスに固有の非効率性を特定しましたか? 監視で非効率性が明らかになった場合、プロジェクトのアプローチをどのように微調整しますか?
- 通信の確認。 利害関係者は、コミュニケーションの頻度と詳細レベルに満足していましたか? そうでない場合は、どのように調整しますか?
毎週のスケジュールとプロジェクトの詳細レビューを確立します。 重要なマイルストーンに細心の注意を払います。 すべての利害関係者への適切な通信を生成し、プロジェクト閉鎖レポートのデータをキャプチャします。
Global Secure Access プロジェクトを閉じる
おめでとうございます Microsoft Global Secure Access の展開を完了しました。 未解決の問題を処理し、プロジェクトを完了します。
- 利害関係者からのフィードバックを収集して、チームが期待とニーズを満たしているかどうかを理解します。
- 実行フェーズ全体で収集したデータ (プロジェクトの開始時に定義) を使用して、必要なクローズ アウト資産を開発します。 たとえば、プロジェクト評価、学習したレッスン、事後分析のプレゼンテーションなどです。
- プロジェクトの詳細をアーカイブして、同様の将来のプロジェクトについて参照します。
次の手順
- Microsoft Entra Suite と Microsoft の統合セキュリティ運用プラットフォーム
、ゼロ トラスト セキュリティ モデルへの移行を高速化する方法について説明します - Microsoft Traffic の Microsoft Global Secure Access 展開ガイド
- Microsoft Entra Internet Access 用の Microsoft グローバル セキュア アクセス展開ガイド
- Microsoft Entra Private Access のための Microsoft Global Secure Access 展開ガイド
- Azure Virtual Network Gateway を使用してリモート ネットワーク接続をシミュレートする - グローバル セキュリティで保護されたアクセス
- Azure vWAN - グローバル セキュア アクセス を使用してリモート ネットワーク接続をシミュレートする