Microsoft の Security Service Edge ソリューションの Microsoft Entra Internet Access for Microsoft Traffic 概念実証デプロイガイド

[アーティクル]
11/25/2024

この概念実証 (PoC) デプロイガイドは、Microsoft Entra Internet Access for Microsoft Traffic を備えた Microsoft の Security Service Edge (SSE) ソリューションのデプロイに役立ちます。

概要

Microsoft の ID 中心の Security Service Edge ソリューションは、ネットワーク、ID、エンドポイントのアクセス制御を集約して、任意の場所、デバイス、または ID から任意のアプリまたはリソースへのアクセスをセキュリティで保護できるようにします。これにより、従業員、ビジネスパートナー、デジタルワークロードのアクセスポリシー管理が可能になり、調整されます。プライベートアプリ、SaaS アプリ、Microsoft エンドポイントのアクセス許可やリスクレベルが変更された場合、ユーザーアクセスをリアルタイムで継続的に監視および調整できます。このセクションでは、運用環境またはテスト環境で Microsoft Entra Internet Access for Microsoft Traffic 概念を完全に証明する方法について説明します。

Microsoft Entra Internet Access for Microsoft Traffic のデプロイ

「製品の初期構成」ステップを完了します。これには、Microsoft トラフィック転送プロファイルを有効にし、テストデバイスにグローバルセキュアアクセスクライアントをインストールする Microsoft Entra Internet Access for Microsoft Traffic の構成も含まれます。構成のスコープは、特定のテストユーザーとグループに設定する必要があります。

サンプル PoC シナリオ: データ流出から保護する

データ流出は、すべての企業、特に政府や金融などの規制の厳しい業界で動作する企業にとって懸念事項です。テナント間アクセス設定の送信制御を使用すると、マネージドデバイスを使用するときに、外部テナントからの承認されていない ID による Microsoft データへのアクセスをブロックできます。

Microsoft Entra Internet Access for Microsoft Traffic により、以下のことが可能なため、データ損失防止 (DLP) コントロールが向上します。

準拠しているネットワークを経由する場合にのみ、ユーザーが Microsoft リソースにアクセスできるように要求することで、トークンの盗難を防止する。
Microsoft の Security Service Edge への接続に条件付きアクセスポリシーを適用します。
ユニバーサルテナント制限 v2 をデプロイすることで、カスタマーマネージドネットワークプロキシ経由ですべてのユーザートラフィックをルーティングする必要がなくなります。
テナントの制限を構成して、ユーザーがサードパーティの ID (個人や外部組織によって発行されたなど) を使用して承認されていない外部テナントにアクセスできないようにします。
アクセストークンをアンマネージドデバイスまたはネットワークの場所との間で移動することで、ユーザーがテナント制限をバイパスできないように、トークン侵入/流出から保護します。

このセクションでは、ユニバーサルテナント制限 v2 を使って、準拠しているネットワークアクセスを Microsoft トラフィックに適用し、条件付きアクセスを使って Microsoft の Security Service Edge への接続を保護し、マネージドデバイスやネットワーク上の外部テナントに外部 ID がアクセスできないようにする方法について説明します。テナントの制限は外部 ID にのみ適用されます。これらは、独自のテナント内の ID には適用されません。自分のユーザーの ID の送信アクセスを制御するには、テナント間アクセス設定を使用します。アクセスをブロックするように Microsoft Entra ID でテナント制限ポリシーを構成すると、テナント制限ヘッダーの挿入を取得するユーザーに適用されます。これには、ヘッダーを挿入する顧客ネットワークプロキシを介してルーティングするユーザー、グローバルセキュリティで保護されたアクセスクライアントが展開されているユーザー、または Windows OS 設定を介してテナント制限ヘッダーの挿入が有効になっている Windows デバイス上のユーザーのみが含まれます。テスト時には、他のユーザーに意図せずに影響を与えないように、お客様のネットワークプロキシや Windows 設定ではなく、グローバルセキュリティで保護されたアクセスサービスによってテナントの制限が適用されていることを確認します。さらに、条件付きアクセスのシグナル通知を有効にして、条件付きアクセスでグローバルセキュリティで保護されたアクセスオプションを有効にする必要があります。

条件付きアクセスの Global Secure Access シグナリングを有効にします。
ユニバーサルテナントの制限を有効にします。
Microsoft Entra 管理センターでテナント制限ポリシーを構成して、すべての外部 ID とすべてのアプリケーションのアクセスをブロックします。
アクセスに準拠したネットワークを必要とする条件付きアクセスポリシーを作成します。準拠しているネットワークの要件を構成すると、テストユーザーは、Microsoft の Security Service Edge ソリューションを使って接続しない限り、どの場所からでも Office 365 Exchange Online と Office 365 SharePoint Online へのすべてのアクセスがブロックされます。条件付きアクセスポリシーを次のように構成します。
1. ユーザー: テストユーザーまたはパイロットグループを選択します。
2. ターゲットリソース: Office 365 Exchange Online と Office 365 SharePoint Online のアプリケーションを選択します。
3. 条件:
4. [場所] で、[未構成] を選択してください。
5. [構成] を [はい] に切り替えます。
6. [任意の場所] を含めます。
7. 選択した場所を除外します。
8. [選択]で[なし]を選択します。
9. すべての準拠ネットワークの場所を選択します。
アクセスが>Grant> Select Blockアクセスを制御します。
グローバルセキュアアクセスクライアントが S Standard Edition ソリューション (MFA、準拠デバイス、TOU など) に接続できるようにする制御を必要とする 2 つ目の条件付きアクセスポリシーを作成します。条件付きアクセスポリシーを次のように構成します。
1. ユーザー: テストユーザーまたはパイロットグループを選択します。
2. ターゲットリソース：
3. [このポリシーが適用される対象を選択する] では、[グローバルセキュアアクセス] を選択します。
4. [このポリシーが適用されるトラフィックプロファイルを選択します] には、[Microsoft トラフィック] を選択します。
アクセス制御>許可>多要素認証の要求など、強制する制御を選択します。
SharePoint Online または Exchange Online へのサインインを試み、グローバルセキュリティで保護されたアクセスに対する認証を求めるメッセージが表示されることを確認します。グローバルセキュアアクセスクライアントは、アクセストークンと更新トークンを使って Microsoft の Security Service Edge ソリューションに接続します。グローバルセキュリティで保護されたアクセスクライアントを以前に接続している場合は、作成した条件付きアクセスポリシーが適用されるまで、アクセストークンの有効期限が切れる (最大 1 時間) 待機する必要がある場合があります。
条件付きアクセスポリシーが正常に適用されたことを確認するには、ZTNA ネットワークアクセスクライアント - M365 アプリケーションのテストユーザーのサインインログを表示します。
右下隅のトレイを開き、アイコンに緑色のチェックがあることを確認して、グローバルセキュアアクセスクライアントが接続されていることを確認します。
テストユーザーを使用して、テストデバイスを使用して SharePoint Online または Exchange Online にサインインします。
1. ユーザーがリソースに正常にアクセスできることを確認します。
2. サインインログで、準拠しているネットワークの外部へのアクセスをブロックする条件付きアクセスポリシーが [適用されていない] を示していることを確認します。
グローバルセキュリティで保護されたアクセスクライアントがない別のデバイスから、テストユーザー ID を使用して SharePoint Online または Exchange Online へのサインインを試みます。または、システムトレイでグローバルセキュリティで保護されたアクセスクライアントを右クリックし、[一時停止] をクリックしてから、テストユーザー ID を使用して、同じデバイス上の SharePoint Online または Exchange Online へのサインインを試みることもできます。
1. アクセスがブロックされていることを確認します。
2. サインインログで、準拠しているネットワークの外部へのアクセスをブロックする条件付きアクセスポリシーが適用されたことを確認します。
Global Secure Access Client が有効になっているテストデバイスから、外部 ID を使用して別の Microsoft Entra テナントへのサインインを試みます。テナントの制限によってアクセスがブロックされていることを確認します。
外部テナントに移動し、そのサインインログに移動します。外部テナントのサインインログで、外部テナントへのアクセスがブロックされ、ログに記録されていることを確認します。

PoC シナリオの例: ソース IP アドレスの復元

ネットワークプロキシとサードパーティの S Standard Edition ソリューションは、送信デバイスのパブリック IP アドレスを上書きします。これにより、Microsoft Entra ID がその IP アドレスをポリシーまたはレポートに使用できなくなります。この制限により、次の問題が発生します。

Microsoft Entra ID は、特定の場所ベースの条件付きアクセスポリシー (信頼されていない国のブロックなど) を実施することはできません。
システムが Microsoft Entra ID 保護の機械学習アルゴリズムをプロキシの IP アドレスに制限するため、ユーザーのベースラインの使い慣れた場所を活用するリスクベースの検出は低下します。ユーザーの実際のソース IP アドレスを検出またはトレーニングすることはできません。
SOC の操作/調査では、サードパーティ/プロキシログを利用して元のソース IP を特定し、後続のアクティビティログと関連付けて非効率性を実現する必要があります。

このセクションでは、Microsoft Entra Internet Access for Microsoft Traffic が、ユーザーの元のソース IP アドレスを保持し、セキュリティ調査とトラブルシューティングを簡素化することで、どのようにこれらの問題を解決するかについて説明します。

ソース IP アドレスの復元をテストするには、条件付きアクセスのグローバルセキュアアクセスシグナリングを有効にする必要があります。この記事で前述したように、準拠しているネットワークを必要とする条件付きアクセスポリシーが必要です。

右下隅のトレイを開き、アイコンに緑色のチェックがあることを確認して、グローバルセキュアアクセスクライアントが接続されていることを確認します。テスト ID を使用して、SharePoint Online または Exchange Online にサインインします。
このサインインのサインインログを表示し、IP アドレスと場所を書き留めます。準拠しているネットワーク条件付きアクセスポリシーが適用されなかったことを確認します。
準拠しているネットワーク条件付きアクセスポリシーをレポート専用モードに設定し、[保存] を選択します。
テストクライアントデバイスでシステムトレイを開き、Global Secure Access Client アイコンを右クリックして [一時停止] を選択します。アイコンの上にマウスポインターを置き、[グローバルセキュリティで保護されたアクセスクライアント] -- [無効] を確認して、グローバルセキュリティで保護されたアクセスクライアントが接続しなくなったことを確認します。
テストユーザーを使用して、SharePoint Online または Exchange Online にサインインします。正常にサインインしてリソースにアクセスできることを確認します。
最後のサインイン試行のサインインログを表示します。
1. IP アドレスと場所が、前にメモしたものと一致することを確認します。
2. レポート専用の条件付きアクセスポリシーがトラフィックが Microsoft Entra Internet Access for Microsoft Traffic 経由でルーティングしなかったため失敗したことを確認します。