Microsoft Entra プライベート アクセス用 Microsoft グローバル セキュア アクセス展開ガイド

Microsoft Global Secure Access は、ネットワーク、ID、エンドポイントのアクセス制御を集約し、任意の場所、デバイス、または ID からアプリまたはリソースに安全にアクセスできます。 これにより、企業の従業員のアクセス ポリシー管理が有効になり、調整されます。 プライベート アプリ、サービスとしてのソフトウェア (SaaS) アプリ、および Microsoft エンドポイントへのユーザー アクセスをリアルタイムで継続的に監視および調整できます。 継続的な監視と調整は、アクセス許可とリスク レベルの変更が発生したときに適切に対応するのに役立ちます。

Microsoft Entra Private Access を使用すると、企業 VPN を置き換えることができます。 企業ユーザーは、条件付きアクセス ポリシーを使用して制御する企業アプリケーションへのマクロおよびマイクロセグメント アクセスを提供します。 役立つことは以下の通りです。

• すべてのポートとプロトコルを使用してプライベート アプリケーションへのゼロ トラスト ポイントツーポイント アクセスを提供します。 このアプローチにより、企業ネットワーク上で不適切なアクターが横移動またはポート スキャンを行うのを防ぐことができます。
• ユーザーがプライベート アプリケーションに接続するときに多要素認証を要求する。
• セキュリティで保護されたネットワーク通信を最大化するために、Microsoft の広大なグローバル プライベート ワイド エリア ネットワーク経由でデータをトンネリングします。

この記事のガイダンスは、展開の実行フェーズに入る際 Microsoft Entra Private Access を運用環境でテストして展開するのに役立ちます。 Microsoft Global Secure Access 展開ガイドの概要 では、Global Secure Access デプロイ プロジェクトを開始、計画、実行、監視、終了する方法に関するガイダンスを提供します。

主要なユース ケースを特定して計画する

VPN の置き換えは、Microsoft Entra Private Access の主要なシナリオです。 このシナリオには、デプロイ用のその他のユース ケースが含まれている場合があります。 たとえば、次の必要があります。

• 条件付きアクセス ポリシーを適用して、プライベート アプリケーションに接続する前にユーザーとグループを制御します。
• プライベート アプリに接続するための要件として多要素認証を構成します。
• 伝送制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP) -based アプリケーションに対して、時間の経過と伴うゼロ トラストに近づく段階的な展開を有効にします。
• 完全修飾ドメイン名 (FQDN) を使用して、IP アドレス範囲が重複または重複する仮想ネットワークに接続し、エフェメラル環境へのアクセスを構成します。
• 特権アクセスの宛先のセグメンテーションを構成するための特権アイデンティティ管理 (PIM)。

ユース ケースで必要な機能を理解したら、ユーザーとグループをこれらの機能に関連付けるインベントリを作成します。 接続をテストして VPN を削除できるように、最初にクイック アクセス機能を使用して VPN 機能を複製することを計画します。 次に、Application Discovery を使用してユーザーが接続するアプリケーション セグメントを特定し、特定の IP アドレス、FQDN、ポートへの接続をセキュリティで保護できるようにします。

Microsoft Entra Private Access をテストして展開する

この時点で、Secure Access Service Edge (SASE) デプロイ プロジェクトの開始ステージと計画段階を完了しました。 誰のために何を実装する必要があるかを理解しています。 各ウェーブで有効にするユーザーを定義しました。 各波の展開スケジュールがあります。 あなたは ライセンス要件を満たしています。 Microsoft Entra Private Access を有効にする準備ができました。

1. エンド ユーザー通信を作成して期待値を設定し、エスカレーション パスを提供します。
2. ユーザー デバイスからグローバル セキュア アクセス クライアントを削除したり、トラフィック転送プロファイルを無効にしたりする場合の状況と手順を定義するロールバック 計画を作成します。
3. パイロット ユーザーを含む Microsoft Entra グループ を作成します。
4. Microsoft Entra Private Access トラフィック転送プロファイル を有効にして、パイロット グループを割り当てます。 トラフィック転送プロファイルにユーザーとグループを割り当てます。
5. コネクタとして機能するようにアプリケーションへの視線アクセス権を持つサーバーまたは仮想マシンをプロビジョニングし、ユーザーにアプリケーションへの送信接続を提供します。 許容可能なパフォーマンスを得るための負荷分散シナリオと容量要件を検討してください。 各コネクタ マシンで Microsoft Entra Private Access のコネクタを構成します。
6. エンタープライズ アプリケーションのインベントリがある場合は、グローバル セキュア アクセス アプリケーションを使用してアプリごとのアクセスを構成 。 インベントリがない場合は、グローバル セキュア アクセスのクイック アクセスを構成します。
7. パイロット グループに期待を伝えます。
8. テストするパイロット グループのデバイスに、Windows 用の グローバル セキュリティで保護されたアクセス クライアントを展開します。
9. セキュリティ要件に従って 条件付きアクセス ポリシーを作成し、これらのユーザーが公開された Global Secure Access Enterprise アプリケーションに接続するときにパイロット グループに適用します。
10. パイロット ユーザーに構成をテストさせます。
11. 必要に応じて、構成を更新して再テストします。 必要に応じて、ロールバック計画を開始します。
12. 必要に応じて、エンド ユーザーの通信とデプロイ計画に対する変更を繰り返します。

アプリごとのアクセスを構成する

Microsoft Entra Private Access の展開の価値を最大化するには、クイック アクセスからアプリごとのアクセスに移行する必要があります。 Application Discovery 機能を使用すると、ユーザーがアクセスするアプリ セグメントからグローバル Secure Access アプリケーションをすばやく作成できます。 Global Secure Access Enterprise アプリケーション を使用して手動で作成することも、PowerShell 使用して作成を自動化することもできます。

1. アプリケーションを作成し、クイック アクセスに割り当てられているすべてのユーザー (推奨) または特定のアプリケーションにアクセスする必要があるすべてのユーザーにスコープを設定します。
2. 少なくとも 1 つのアプリ セグメントをアプリケーションに追加します。 すべてのアプリ セグメントを同時に追加する必要はありません。 セグメントごとにトラフィック フローを検証できるように、それらをゆっくりと追加することをお勧めします。
3. これらのアプリ セグメントへのトラフィックがクイック アクセスに表示されなくなったことに注意してください。 クイック アクセスを使用して、グローバル セキュア アクセス アプリケーションとして構成する必要があるアプリ セグメントを特定します。
4. クイック アクセスにアプリ セグメントが表示されないまで、引き続きグローバル Secure Access アプリケーションを作成します。
5. クイック アクセスを無効にします。

パイロットが完了したら、反復可能なプロセスを用意し、運用環境の展開でユーザーの各ウェーブを続行する方法を理解する必要があります。

1. ユーザーのウェーブを含むグループを特定します。
2. スケジュールされたウェーブとその含まれるユーザーについてサポート チームに通知します。
3. 計画された準備済みのエンド ユーザー通信を送信します。
4. グループを Microsoft Entra Private Access トラフィック転送プロファイルに割り当てます。
5. ウェーブのユーザーのデバイスにグローバル セキュリティで保護されたアクセス クライアントを展開します。
6. 必要に応じて、より多くのプライベート ネットワーク コネクタをデプロイし、より多くのグローバル Secure Access Enterprise アプリケーションを作成します。
7. 必要に応じて、これらのアプリケーションに接続するときにウェーブのユーザーに適用する条件付きアクセス ポリシーを作成します。
8. 構成を更新します。 問題に対処するためにもう一度テストします。必要に応じて、ロールバック計画を開始します。
9. 必要に応じて、エンド ユーザーの通信とデプロイ計画に対する変更を繰り返します。

次の手順

• Microsoft Entra Suite と Microsoft の統合セキュリティ運用プラットフォーム 、ゼロ トラスト セキュリティ モデルへの移行を高速化する方法について説明します
• Microsoft グローバル セキュア アクセス デプロイ ガイドの概要
• Microsoft Traffic の Microsoft Global Secure Access 展開ガイド
• Microsoft Entra Internet Access のための Microsoft グローバル セキュア アクセス展開ガイド
• Azure Virtual Network Gateway を使用してリモート ネットワーク接続をシミュレートする - グローバル セキュリティで保護されたアクセス
• Azure vWAN - グローバル セキュア アクセス を使用してリモート ネットワーク接続をシミュレートする