Microsoft の Security Service Edge ソリューションの Microsoft Entra Internet Access 概念実証デプロイ ガイド

Microsoft ID 中心の Security Service Edge ソリューションを使うと、ネットワークと ID のアクセス制御を統合して、任意の場所、デバイス、または ID から任意のアプリやリソースへのアクセスをセキュリティで保護できます。 これにより、従業員、ビジネス パートナー、デジタル ワークロードのアクセス ポリシー管理が可能になり、調整されます。 プライベート アプリ、SaaS アプリ、Microsoft エンドポイントのアクセス許可やリスク レベルが変更された場合、ユーザー アクセスをリアル タイムで継続的に監視および調整できます。

エンタープライズ ユーザーとマネージド デバイスを悪意のあるインターネット トラフィックやマルウェア感染から保護することは、すべての会社にとって重要です。 Microsoft Entra Internet Access セキュア Web ゲートウェイ機能を使って、Microsoft Entra 条件付きアクセスと統合することで、Web カテゴリと完全修飾ドメイン名 (FQDN) に基づいてトラフィックをブロックします。

この記事のガイダンスは、運用環境またはテスト環境で概念実証として Microsoft Entra Internet Access をデプロイするのに役立ちます。 これには、Web コンテンツ フィルター処理のセットアップと構成が含まれます。 前提条件については、Microsoft の Security Service Edge ソリューション デプロイ ガイドの概要に関する記事で確認できます。ここには、特定のテスト ユーザーとグループに対する構成とテストのスコープを設定する方法が記載されています。

Microsoft Entra Internet Access のデプロイとテスト

「製品の初期構成」ステップを完了します。 Microsoft Entra Internet Access トラフィック転送プロファイルを有効にし、テスト デバイスにグローバル セキュア アクセス クライアントをインストールする方法について説明します。 これらの PoC シナリオ例では、1 人のテスト ユーザーをメンバーとする 1 つのテスト グループが必要です。

• サービス経由でルーティングされるすべてのインターネット アクセス トラフィックに適用されるベースライン ポリシーを作成する
• カテゴリに基づいてグループが Web サイトにアクセスできないようにする
• FQDN に基づいてグループが Web サイトにアクセスできないようにする
• ブロックされた Web サイトへのアクセスをユーザーに許可する

PoC シナリオ例: サービス経由でルーティングされるすべてのインターネット アクセス トラフィックに適用されるベースライン ポリシーを作成する

Microsoft Internet Access には、条件付きアクセス ポリシーにリンクすることなく、すべてのトラフィックに適用される優先度 65,000 のセキュリティ プロファイルを構成する機能があります。 FQDN をブロックするこのベースライン ポリシーを作成するには、次のタスクを実行します。

• Web コンテンツの制限ポリシーを作成して、危険な Web カテゴリのブロック規則を構成します。
• 優先度 65,000 のセキュリティ プロファイルを作成して、Web コンテンツの制限ポリシーをグループ化し、優先順位を付けます。
• テスト ユーザーを使ってブロックされたサイトにアクセスしてみて、規則の適用を確認します。
• エージェントを停止し、以前ブロックしたサイトにテスト ユーザーがアクセスできることを確認します。
• トラフィック ログのアクティビティを確認します。

Web コンテンツの制限ポリシーを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[Web コンテンツ フィルター処理ポリシー]>[ポリシーの作成]>[グローバル セキュア アクセス コンテンツ フィルター処理の構成] に移動します。

   

2. [Web コンテンツ フィルター処理ポリシーの作成]>[基本] で、次の詳細を入力します。

   • 名前: ベースライン インターネット アクセス ブロック規則。
   • 説明: 説明を追加します。
   • アクション: ブロック。

   

3. [次へ] を選択します。

4. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、[規則の追加] を選びます。

   

5. [規則の追加] ダイアログ ボックスに次の詳細を入力します。

   • 名前: ベースラインのブロックされた Web カテゴリ。
   • 宛先の種類: webCategory。
   • 検索: リスクの高いカテゴリをいくつか選び、[選択した項目] リストに表示されていることを確認します。

   

6. [追加] を選択します。

7. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、選択内容を確認します。

   

8. [次へ] を選択します。

9. [Web コンテンツ フィルター処理ポリシーの作成]>[確認] で、ポリシーの構成を確認します。

10. [ポリシーの作成] を選択します。

    

11. ポリシーの作成を確認するには、[Web コンテンツ フィルター処理ポリシーの管理] リストで確認します。

セキュリティ ポリシー プロファイルを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。 [プロファイルの作成] を選択します。

   

2. [プロファイルの作成]>[基本] で、次の詳細を入力します。

   • プロファイル名: ベースライン インターネット アクセス ブロック プロファイル。
   • 説明: 説明を追加します。
   • 状態: 有効。
   • 優先度: 65000。

   

3. [次へ] を選択します。

4. [プロファイルの作成]>[ポリシーのリンク] で、[ポリシーのリンク] を選びます。 [既存のポリシー] を選びます。

   • [ポリシーのリンク] ダイアログ ボックスで [ポリシー名] を選び、[ベースライン インターネット アクセス ブロック規則] を選びます。
   • 優先度: 100。
   • 状態: 有効。

5. [追加] を選択します。

6. [プロファイルの作成]>[ポリシーのリンク] で、[ベースライン インターネット アクセス ブロック規則] が一覧に表示されることを確認します。

7. [次へ] を選択します。

8. [プロファイルの作成]>[確認] で、プロファイルの構成を確認します。

   

9. [プロファイルの作成] を選択します。

ブロックされたサイトにアクセスしてみる

1. グローバル セキュア アクセス (GSA) エージェントをインストールしたテスト デバイスにサインインします。

2. システム トレイにある [グローバル セキュア アクセス クライアント] を右クリックします。 [高度な診断] を選びます。

   

3. [グローバル セキュア アクセス クライアント - 高度な診断] ダイアログ ボックスで、[トラフィック] を選びます。

4. [ネットワーク トラフィック] で、[収集の開始] を選びます。

   

5. ブロックされたアクセスを確認するには、ブロックした FQDN を開いてみます。 ポリシーがクライアント デバイスに適用されるまでに最長 20 分かかる場合があります。

エージェントを停止し、アクセスが復元されたことを確認する

1. [ネットワーク トラフィック] で [収集の停止] を選びます。

2. スクロールして、FQDN を開く処理に関連するトラフィックと、関連付けられたデータを確認します。

   

3. テスト デバイス > [システム トレイ] > オプションを展開し > [グローバル セキュア アクセス クライアント] を右クリックします。 一時停止を選択します。

   

4. 確認通知が表示されたら、以前にブロックしたサイトを開いて、アクセスが復元されたことを確認します。

トラフィック ログでアクティビティを確認する

1. Microsoft Entra 管理センター>[グローバル セキュア アクセス]>[監視] で、[トラフィック ログ] を選択します。 必要に応じて [フィルターの追加] を選びます。 [ユーザー プリンシパル名] に testuser が含まれ、[アクション] が [ブロック] に設定されている場合にフィルター処理します。
2. トラフィックがブロックされてから許可されたことを示すターゲット FQDN のエントリを確認します。 エントリがログに表示されるまでに最長 20 分の遅延が発生することがあります。

PoC シナリオ例: カテゴリに基づいてグループが Web サイトにアクセスできないようにする

Microsoft Entra Internet Access を使って、カテゴリに基づいてインターネット サイトへのアクセスをブロックまたは許可します。 このような区分には、ギャンブル、アルコール、タバコのサイトが含まれます。 ブロックリストを手動で管理する必要はありません。 次のタスクを実行して、テスト ユーザーのアルコールおよびタバコのサイトをブロックするように Microsoft Entra Internet Access を構成します。

• カテゴリ サイトのブロック規則を構成します。 Web コンテンツの制限ポリシーを作成します。
• Web コンテンツの制限ポリシーをグループ化して優先順位を付けます。 セキュリティ プロファイルを作成します。
• セキュリティ プロファイルを使うように、テスト ユーザーを含むテスト グループを構成します。 条件付きアクセス ポリシーを作成して割り当てます。
• テスト ユーザーを使ってブロックされたサイトにアクセスしてみて、規則の適用を確認します。
• エージェントを停止し、以前にブロックされたサイトへのテスト ユーザーのアクセスを確認します。
• トラフィック ログのアクティビティを確認します。

Web コンテンツの制限ポリシーを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[Web コンテンツ フィルター処理ポリシー]>[ポリシーの作成]>[グローバル セキュア アクセス コンテンツ フィルター処理の構成] に移動します。

   

2. [Web コンテンツ フィルター処理ポリシーの作成]>[基本] で、次の詳細を入力します。

   • 名前: アルコールとタバコのブロック。
   • 説明: 説明を追加します。
   • アクション: ブロック。

3. [次へ] を選択します。

4. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、[規則の追加] を選びます。

5. [規則の追加] ダイアログ ボックスに次の詳細を入力します。

   • 名前: アルコールとタバコ。
   • 宛先の種類: webCategory。
   • 検索: アルコール。
   • [アルコールとタバコ] を選びます。

6. [追加] を選択します。

7. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、[次へ] を選びます。

8. [Web コンテンツ フィルター処理ポリシーの作成]>[確認] で、ポリシーの構成を確認します。

   

9. [ポリシーの作成] を選択します。

10. ポリシーの作成を確認するには、[Web コンテンツ フィルター処理ポリシーの管理] リストで確認します。

    

セキュリティ ポリシー プロファイルを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。 [プロファイルの作成] を選択します。

   

2. [プロファイルの作成]>[基本] で、次の詳細を入力します。

   • プロファイル名: インターネット アクセス プロファイル。
   • 説明: 説明を追加します。
   • 状態: 有効。
   • 優先度: 1000。

3. [次へ] を選択します。

4. [プロファイルの作成]>[ポリシーのリンク] で、[ポリシーのリンク] を選びます。

5. [既存のポリシー] を選びます。

6. [ポリシーのリンク] ダイアログ ボックスで、次の詳細を入力します。

   • ポリシー名: アルコールとタバコのブロック。
   • 優先度: 1000。
   • 状態: 有効。

7. [追加] を選択します。

8. [プロファイルの作成]>[ポリシーのリンク] で、一覧に "アルコールとタバコのブロック" があることを確認します。

9. [次へ] を選択します。

10. [プロファイルの作成]>[確認] で、プロファイルの構成を確認します。

    

11. [プロファイルの作成] を選択します。

条件付きアクセス ポリシーを作成する

1. Microsoft Entra 管理センターで、[保護]>[条件付きアクセス] に移動します。 [新しいポリシーの作成] を選択します。

2. [新しい条件付きアクセス ポリシー] ダイアログ ボックスで、次の詳細を構成します。

   • 名前: インターネット アクセス ポリシー。
   • ユーザーまたはワークロード ID: 組み込まれた特定のユーザー。
   • このポリシーの適用対象:ユーザーとグループ。
   • [組み込み]>[ユーザーとグループの選択]> [ユーザーとグループ] を選びます。

3. テスト グループを選び > [選択] をクリックします。

   

4. ターゲット リソース。

   • [このポリシーが適用される対象を選択する]>[グローバル セキュア アクセス]。
   • [このポリシーが適用されるトラフィック プロファイルを選択します]>[インターネット トラフィック]。

   

5. [付与] コントロールは既定値のままにして、定義したセキュリティ プロファイルを使ってブロック機能を定義するようにアクセス権を付与します。

6. [セッション] ダイアログ ボックスで、[グローバル セキュア アクセス セキュリティ プロファイルを使用する] を選びます。

7. [インターネット アクセス プロファイル] を選びます。

   

8. [条件付きアクセスの概要]>[ポリシーを有効にする] で [オン] を選びます。 ［作成］ を選択します

ブロックされたサイトにアクセスしてみる

1. GSA エージェントをインストールしたテスト デバイスにサインインします。

2. システム トレイにある [グローバル セキュア アクセス クライアント] を右クリックします。 [高度な診断] を選びます。

   

3. [グローバル セキュア アクセス クライアント - 高度な診断] ダイアログ ボックスで、[トラフィック] を選びます。

4. [ネットワーク トラフィック] で、[収集の開始] を選びます。

   

5. ブロックされたアクセスを確認するために、アルコールまたはタバコのサイトを開いてみます。 http Web サイトの場合は "DeniedTraffic"、https Web サイトの場合は "このページに到達できません" 通知が表示されます。 ポリシーがクライアント デバイスに適用されるまでに最長 20 分かかる場合があります。

エージェントを停止し、アクセスが復元されたことを確認する

1. [ネットワーク トラフィック] で [収集の停止] を選びます。

2. スクロールして、FQDN を開く処理に関連するトラフィックと、関連付けられたデータを確認します。 [チャネル] 列の [インターネット アクセス] に注目してください。 条件付きアクセス ポリシーは、有効期間が 1 時間のトークンに対する要求として作成されます。 新しい条件付きアクセス ポリシーがクライアント デバイスに適用されるまでに最長 1 時間かかることがあります。 変更は Microsoft Entra 全体に反映されるため、Web コンテンツの制限ポリシーとセキュリティプロファイルの変更がクライアント デバイスに適用されるまでに最長 20 分かかることがあります。

   

3. テスト デバイス > [システム トレイ] > オプションを展開し > [グローバル セキュア アクセス クライアント] を右クリックします。 一時停止を選択します。

   

4. 確認通知が表示されたら、以前にブロックしたサイトを開いて、アクセスが復元されたことを確認します。 GSA クライアント メニューにアクセスする機能は、製品が一般提供に移行するときに管理者が制御できるようになります。

トラフィック ログでアクティビティを確認する

1. Microsoft Entra 管理センター>[グローバル セキュア アクセス]>[監視] で、[トラフィック ログ] を選択します。
2. 必要に応じて [フィルターの追加] を選びます。 [ユーザー プリンシパル名] に testuser が含まれ、[アクション] が [ブロック] に設定されている場合にフィルター処理します。
3. トラフィックがブロックされてから許可されたことを示すターゲット FQDN のエントリを確認します。 エントリがログに表示されるまでに最長 20 分の遅延が発生することがあります。

PoC シナリオ例: FQDN に基づいてグループが Web サイトにアクセスできないようにする

場合によっては、広範な Web カテゴリを使うのではなく、特定の Web サイトをブロックする必要があります。 FQDN に基づいてサイトへのアクセスをブロックするには、次のタスクを実行します。 ブロックするサイトで使われている、関連する完全修飾ドメイン名 (FQDN) を必ず含めてください。

• 特定の FQDN に対してブロック規則を構成します。 Web コンテンツの制限ポリシーを作成します。
• Web コンテンツの制限ポリシーをグループ化して優先順位を付けます。 セキュリティ プロファイルを作成します。
• セキュリティ プロファイルを使うように、(ユーザーがメンバーである) テスト グループを構成します。 条件付きアクセス ポリシーを作成して割り当てます。
• テスト ユーザーを使ってブロックされたサイトにアクセスしてみて、規則の適用を確認します。
• エージェントを停止し、以前にブロックされたサイトへのテスト ユーザーのアクセスを確認します。
• トラフィック ログのアクティビティを確認します。

Web コンテンツの制限ポリシーを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[Web コンテンツ フィルター処理ポリシー]>[ポリシーの作成]>[グローバル セキュア アクセス コンテンツ フィルター処理の構成] に移動します。

   

2. [Web コンテンツ フィルター処理ポリシーの作成]>[基本] で、次の詳細を入力します。

   • 名前: テスト FQDN のブロック。
   • 説明: 説明を追加します。
   • アクション: ブロック。

3. [次へ] を選択します。

4. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、[規則の追加] を選びます。

5. [規則の追加] ダイアログ ボックスに次の詳細を入力します。

   • 名前: 「テスト FQDN のブロック」などの名前を入力します。
   • 宛先の種類: FQDN。
   • 宛先: テスト FQDN を *.domainname.com または domainname.com という形式で入力します。

6. [追加] を選択します。

7. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、選択内容を確認します。

8. [次へ] を選択します。

9. [Web コンテンツ フィルター処理ポリシーの作成]>[確認] で、ポリシーの構成を確認します。

   

10. [ポリシーの作成] を選択します。

11. ポリシーの作成を確認するには、[Web コンテンツ フィルター処理ポリシーの管理] リストで確認します。

セキュリティ ポリシー プロファイルを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。 [プロファイルの作成] を選択します。

   

2. [プロファイルの作成]>[基本] で、次の詳細を入力します。

   • プロファイル名: FQDN インターネット アクセスのブロックのプロファイル。
   • 説明: 説明を追加します。
   • 状態: 有効。 *優先度: 2000。

3. [次へ] を選択します。

4. [プロファイルの作成]>[ポリシーのリンク] で、[ポリシーのリンク] を選びます。

5. [既存のポリシー] を選びます。

6. [ポリシーのリンク] ダイアログ ボックスで、次の詳細を入力します。

   • ポリシー名: テスト FQDN のブロック。
   • 優先度: 100。
   • 状態: 有効。

7. [追加] を選択します。

8. [ポリシーのリンク] タブで、一覧に "テスト FQDN のブロック" があることを確認します。

9. [次へ] を選択します。

10. [確認] タブで、プロファイルの構成を確認します。

    

11. [プロファイルの作成] を選択します。

条件付きアクセス ポリシーを作成する

1. Microsoft Entra 管理センターで、[保護]>[条件付きアクセス] に移動します。 [新しいポリシーの作成] を選択します。

2. [新しい条件付きアクセス ポリシー] ダイアログ ボックスで、以下を構成します。

   • 名前: FQDN インターネット アクセス ポリシー。
   • ユーザーまたはワークロード ID: 組み込まれた特定のユーザー。
   • このポリシーは何に適用されますか? ユーザーとグループ。
   • [組み込み]>[ユーザーとグループの選択]> [ユーザーとグループ] を選びます。
   • テスト グループを選びます。 [選択] をクリックします。

   

3. [ターゲット リソース]>[このポリシーが適用される対象を選択する]>[グローバル セキュア アクセス]。

4. [このポリシーが適用されるトラフィック プロファイルを選択します]>[インターネット トラフィック]。

   

5. [セッション] ダイアログ ボックスで、[FQDN インターネット アクセスのブロックのプロファイル] を選びます。 [インターネット アクセス プロファイル] を選びます。

6. [条件付きアクセスの概要]>[ポリシーを有効にする] で [オン] を選びます。 ［作成］ を選択します

   

ブロックされたサイトにアクセスしてみる

1. GSA エージェントをインストールしたテスト デバイスにサインインします。

2. システム トレイにある [グローバル セキュア アクセス クライアント] を右クリックします。 [高度な診断] を選びます。

   

3. [グローバル セキュア アクセス クライアント - 高度な診断] ダイアログ ボックスで、[トラフィック] を選びます。

4. [ネットワーク トラフィック] で、[収集の開始] を選びます。

   

5. ブロックされたアクセスを確認するには、構成した FQDN を開いてみます。 http Web サイトの場合は "アクセスが拒否されました"、https Web サイトの場合は "このページに到達できません" 通知が表示されます。 ポリシーがクライアント デバイスに適用されるまでに最長 20 分かかる場合があります。

エージェントを停止し、アクセスが復元されたことを確認する

1. [ネットワーク トラフィック] で [収集の停止] を選びます。

2. スクロールして、FQDN を開く処理に関連するトラフィックと、関連付けられたデータを確認します。

   

3. テスト デバイス > [システム トレイ] > オプションを展開し > [グローバル セキュア アクセス クライアント] を右クリックします。 一時停止を選択します。

   

4. 確認通知が表示されたら、以前にブロックしたサイトを開いて、アクセスが復元されたことを確認します。

トラフィック ログでアクティビティを確認する

1. Microsoft Entra 管理センター>[グローバル セキュア アクセス]>[監視] で、[トラフィック ログ] を選択します。
2. 必要に応じて [フィルターの追加] を選びます。 [ユーザー プリンシパル名] に testuser が含まれ、[アクション] が [ブロック] に設定されている場合にフィルター処理します。
3. トラフィックがブロックされてから許可されたことを示すターゲット FQDN のエントリを確認します。 エントリがログに表示されるまでに最長 20 分の遅延が発生することがあります。

PoC シナリオ例: ブロックされた Web サイトへのアクセスをユーザーに許可する

場合によっては、ユーザーが属しているグループではブロックされているサイトに、そのユーザーがアクセスを必要とすることがあります。 テスト グループに構成されたブロックをオーバーライドし、テスト ユーザーがブロックされたサイトにアクセスできるようにするには、次のタスクを実行します。

• 前のシナリオでブロックしたものと同じ FQDN に対して、許可規則を構成します。 Web コンテンツの制限ポリシーを作成します。
• Web コンテンツの制限ポリシーをグループ化して優先順位を付けます。 先ほど作成したブロック ポリシーよりも高い優先順位でセキュリティ プロファイルを作成します。
• セキュリティ プロファイルを使うようにテスト ユーザーを構成します。 条件付きアクセス ポリシーを作成して割り当てます。
• テスト ユーザーを使ってブロックされたサイトにアクセスしてみて、規則の適用を確認します。
• エージェントを停止し、以前にブロックされたサイトへのテスト ユーザーのアクセスを確認します。
• トラフィック ログのアクティビティを確認します。

Web コンテンツの制限ポリシーを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[Web コンテンツ フィルター処理ポリシー]>[ポリシーの作成]>[グローバル セキュア アクセス コンテンツ フィルター処理の構成] に移動します。

   

2. [Web コンテンツ フィルター処理ポリシーの作成]>[基本] で、次の詳細を入力します。

   • 名前: テスト FQDN の許可。
   • 説明: 説明を追加します。
   • アクション: 許可。

3. [次へ] を選択します。

4. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、[規則の追加] を選びます。

5. [規則の追加] ダイアログ ボックスに次の詳細を入力します。 [追加] を選択します。

   • 名前: 「FQDN オーバーライドの許可」などの名前を入力します。
   • 宛先の種類: FQDN。
   • 宛先: FQDN を *.domainname.com または domain.com という形式で入力します。 [追加] を選択します。

6. [Web コンテンツ フィルター処理ポリシーの作成]>[ポリシー規則] で、選択内容を確認します。

7. [次へ] を選択します。

8. [Web コンテンツ フィルター処理ポリシーの作成]>[確認] で、ポリシーの構成を確認します。

   

9. [ポリシーの作成] を選択します。

10. ポリシーの作成を確認するには、[Web コンテンツ フィルター処理ポリシーの管理] リストで確認します。

セキュリティ ポリシー プロファイルを作成する

1. Microsoft Entra 管理センターで、[グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。 [プロファイルの作成] を選択します。

   ](media/sse-deployment-guide-internet-access/security-profiles-expanded.png#lightbox)

2. [プロファイルの作成]>[基本] で、次の詳細を入力します。

   • プロファイル名: FQDN インターネット アクセスの許可のプロファイル。
   • 説明: 説明を追加します。
   • 状態: 有効。
   • 優先度: 500。

3. [次へ] を選択します。

4. [プロファイルの作成]>[ポリシーのリンク] で、[ポリシーのリンク] を選びます。

5. [既存のポリシー] を選びます。

6. [ポリシーのリンク] ダイアログ ボックスで、次の詳細を入力します。

   • ポリシー名: テスト FQDN の許可。
   • 優先度: 100。
   • 状態: 有効。

7. [追加] を選択します。

8. [プロファイルの作成]>[ポリシーのリンク] で、一覧に "テスト FQDN の許可" があることを確認します。

9. [次へ] を選択します。

10. [確認] タブで、プロファイルの構成を確認します。

    

11. [プロファイルの作成] を選択します。

条件付きアクセス ポリシーを作成する

1. Microsoft Entra 管理センターで、[保護]>[条件付きアクセス] に移動します。 [新しいポリシーの作成] を選択します。

2. [新しい条件付きアクセス ポリシー] ダイアログ ボックスで、以下を構成します。

   • 名前: FQDN 例外オーバーライド IA ポリシー。
   • ユーザーまたはワークロード ID: 組み込まれた特定のユーザー。
   • このポリシーは何に適用されますか? ユーザーとグループ。
   • [組み込み]>[ユーザーとグループの選択]> [ユーザーとグループ] を選びます。
   • テスト グループを選びます。 [選択] をクリックします。

   

3. [ターゲット リソース]>[このポリシーが適用される対象を選択する]>[グローバル セキュア アクセス]。

4. [このポリシーが適用されるトラフィック プロファイルを選択します]>[インターネット トラフィック]。

   

5. [セッション]> [グローバル セキュア アクセス セキュリティ プロファイル] を選び、[FQDN インターネット アクセスの許可のプロファイル] を選びます。 [選択] をクリックします。

6. [条件付きアクセスの概要]>[ポリシーを有効にする] で [オン] を選びます。 ［作成］ を選択します

   

ブロックされたサイトにアクセスしてみる

1. GSA エージェントをインストールしたテスト デバイスにサインインします。

2. システム トレイにある [グローバル セキュア アクセス クライアント] を右クリックします。 [高度な診断] を選びます。

   

3. [グローバル セキュア アクセス クライアント - 高度な診断] ダイアログ ボックスで、[トラフィック] を選びます。

4. [ネットワーク トラフィック] で、[収集の開始] を選びます。

   

5. この特定のユーザーのアクセスを確認するには、例外として構成した FQDN を開いてみます。 ポリシーがクライアント デバイスに適用されるまでに最長 20 分かかる場合があります。

エージェントを停止し、アクセスが復元されたことを確認する

1. [ネットワーク トラフィック] で [収集の停止] を選びます。
2. スクロールして、FQDN を開く処理に関連するトラフィックを確認します。

トラフィック ログでアクティビティを確認する

1. Microsoft Entra 管理センター>[グローバル セキュア アクセス]>[監視] で、[トラフィック ログ] を選択します。 必要に応じて [フィルターの追加] を選びます。 [ユーザー プリンシパル名] に testuser が含まれ、[アクション] が [ブロック] に設定されている場合にフィルター処理します。
2. トラフィックがブロックされてから許可されたことを示すターゲット FQDN のエントリを確認します。 エントリがログに表示されるまでに最長 20 分の遅延が発生することがあります。

次のステップ

• Microsoft の Security Service Edge ソリューションの概念実証デプロイ ガイドの概要
• Microsoft Entra Private Access のデプロイと検証
• Microsoft Entra Internet Access for Microsoft Traffic をデプロイして検証する