Microsoft Traffic の Microsoft Global Secure Access 展開ガイド
Microsoft Global Secure Access は、ネットワーク、ID、エンドポイントのアクセス制御を集約し、任意の場所、デバイス、または ID からアプリまたはリソースに安全にアクセスできます。 これにより、企業の従業員のアクセス ポリシー管理が有効になり、調整されます。 プライベート アプリ、サービスとしてのソフトウェア (SaaS) アプリ、および Microsoft エンドポイントへのユーザー アクセスをリアルタイムで継続的に監視および調整できます。 継続的な監視と調整は、アクセス許可とリスク レベルの変更が発生したときに適切に対応するのに役立ちます。
Microsoft トラフィック転送プロファイルを使用すると、ユーザーがリモートの場所から作業している場合でも、Microsoft エンドポイントに固有のインターネット トラフィックを制御および管理できます。 あなたが次のことを行うのに役立ちます。
- データ流出から保護します。
- トークンの盗難やリプレイ攻撃のリスクを軽減します。
- 脅威ハンティングの効率を向上させるために、デバイス ソース IP アドレスをアクティビティ ログと関連付けます。
- エグレス IP アドレスの一覧なしで、アクセス ポリシー管理を容易にします。
この記事のガイダンスは、運用環境で Microsoft トラフィック プロファイルをテストして展開するのに役立ちます。 Microsoft Global Secure Access 展開ガイドの概要 では、Global Secure Access デプロイ プロジェクトを開始、計画、実行、監視、終了する方法に関するガイダンスを提供します。
主要なユース ケースを特定して計画する
Microsoft Entra Secure Access Essentials を有効にする前に、それがどのように役立つかを決定してください。 デプロイする機能を決定するユース ケースについて理解します。 次の表では、ユース ケースに基づく構成をお勧めします。
| ユース ケース | 推奨される構成 |
|---|---|
| ユーザーとグループがマネージド デバイスを使用して他のテナントの Microsoft 365 エンドポイントにアクセスできないようにします。 | テナント制限のユニバーサル設定を構成する。 |
| Microsoft 365 およびすべてのエンタープライズ アプリケーションに対するトークンの盗難/再生のリスクを軽減するために、セキュリティで保護されたグローバル アクセスのセキュリティで保護されたネットワーク トンネルでのみユーザーが接続および認証されるようにします。 | 条件付きアクセス ポリシーでネットワークの準拠チェックを設定します。 |
| 脅威ハンティングの成功と効率を最大化します。 | ソース IP の回復の構成 (プレビュー) とエンリッチされた Microsoft 365 ログの使用。 |
ユース ケースに必要な機能を決定したら、実装に機能のデプロイを含めます。
Microsoft トラフィック プロファイルをテストして展開する
この時点で、Global Secure Access デプロイ プロジェクトの開始ステージと計画段階を完了しました。 誰のために何を実装する必要があるかを理解しています。 各ウェーブで有効にするユーザーを定義しました。 各ウェーブの展開スケジュールがあります。 あなたは ライセンス要件を満たしている。 Microsoft トラフィック プロファイルを有効にする準備ができました。
- エンド ユーザー通信を作成して期待値を設定し、エスカレーション パスを提供します。
- ユーザー デバイスからグローバル セキュア アクセス クライアントを削除したり、トラフィック転送プロファイルを無効にしたりする場合の状況と手順を定義するロールバック 計画を作成します。
- パイロット ユーザーを含む Microsoft Entra グループ を作成します。
- エンド ユーザー通信を送信します。
- Microsoft トラフィック転送プロファイル を有効にして、パイロット グループをそれに割り当てます。
- 脅威ハンティングの成功と効率を最大化したい場合は、ソース IP 復元を構成してください。
- 計画されたユースケースである場合、パイロットグループに対してに準拠したネットワークをチェックすることを要求する条件付きアクセス ポリシーを作成します。
- 計画されたユース ケースの場合、ユニバーサル テナント制限 を構成します。
- テストするパイロット グループのデバイスに、Windows 用の
グローバル セキュリティで保護されたアクセス クライアントを展開します。 - パイロット ユーザーに構成をテストさせます。
- サインイン ログを表示して、パイロット ユーザーがグローバル セキュリティで保護されたアクセスを使用して Microsoft エンドポイントに接続していることを確認します。
- Global Secure Access エージェントを一時停止し、SharePoint へのアクセスを試みることで、準拠しているネットワーク チェックを確認します。
- 別のテナントにサインインしてみて、テナントの制限を確認します。
- グローバル セキュア アクセス エージェントが稼働中の場合と無効化されている場合を比較して、SharePoint Online への正常な接続の際のサインイン ログにある IP アドレスを確認し、ソース IP が同一であることを確認します。
手記
この検証に対して準拠しているネットワーク チェックを適用する条件付きアクセス ポリシーを無効にする必要があります。
問題に対処するように構成を更新します。 テストを繰り返します。 必要に応じて、ロールバック 計画を実装します。 必要に応じて、エンド ユーザーの通信と展開計画に対する変更を繰り返します。
パイロットを完了すると、運用環境のデプロイでユーザーの各ウェーブを続行するための反復可能なプロセスが得られます。
- ウェーブのユーザーを含むグループを識別します。
- ウェーブのスケジュールとその含まれるユーザーをサポート チームに通知します。
- ウェーブのエンドユーザー通信を送信します。
- ウェーブのグループを Microsoft トラフィック転送プロファイルに割り当てます。
- ウェーブのユーザーのデバイスにグローバル セキュア アクセス クライアントを展開します。
- 条件付きアクセス ポリシーを作成または更新して、ウェーブの関連グループにユース ケース要件を適用します。
- 必要に応じて、エンド ユーザーの通信とデプロイ計画に対する変更を繰り返します。
次の手順
- Microsoft Entra Suite と Microsoft の統合セキュリティ運用プラットフォーム
、ゼロ トラスト セキュリティ モデルへの移行を高速化する方法について説明します - Microsoft Global Secure Access 展開ガイドへのイントロダクション
- Microsoft Entra Private Access の Microsoft グローバル セキュア アクセス展開ガイド
- Microsoft Entra Internet Access のための Microsoft グローバル セキュア アクセス展開ガイド
- Azure Virtual Network Gateway を使用してリモート ネットワーク接続をシミュレートする - グローバル セキュリティで保護されたアクセス
- Azure vWAN - グローバル セキュア アクセス を使用してリモート ネットワーク接続をシミュレートする