Microsoft による Microsoft Entra プライベート アクセス概念実証のためのセキュリティ サービス エッジ ソリューション デプロイ ガイド
Microsoft の ID 中心の Security Service Edge ソリューション は、ネットワーク、ID、エンドポイントのアクセス制御を集約して、任意の場所、デバイス、または ID から任意のアプリまたはリソースへのアクセスをセキュリティで保護できるようにします。 これにより、従業員、ビジネス パートナー、デジタル ワークロードのアクセス ポリシー管理が可能になり、調整されます。 プライベート アプリ、SaaS アプリ、Microsoft エンドポイントのアクセス許可やリスク レベルが変更された場合、ユーザー アクセスをリアル タイムで継続的に監視および調整できます。
このガイダンスは、条件付きアクセス ポリシーやアプリケーションの割り当てなど、運用環境またはテスト環境で概念実証として Microsoft Entra Private Access を展開するのに役立ちます。 構成のスコープを特定のテスト ユーザーおよびグループに設定できます。 前提条件については、「Microsoft によるセキュリティ サービス エッジ ソリューション デプロイ ガイドの概略」を参照してください。
Microsoft Entra Private Access の展開およびテスト
「製品の初期構成」ステップを完了します。 これには、Microsoft Entra Private Access トラフィック転送プロファイルを有効化と、Global Secure Access クライアントのテスト デバイスへのインストールが含まれます。 このガイダンスは、コネクタ サーバーを設定し、アプリケーションを Microsoft Entra Private Access に発行するのに使用します。
コネクタ サーバーを設定する
コネクタ サーバーは、企業ネットワークへのゲートウェイとして Microsoft のセキュリティ サービス エッジ ソリューションと通信します。 80 と 443 を経由する送信接続を使用するため、受信ポートは必要ありません。 「Microsoft Entra Private Access のコネクタを構成する方法」を参照してください。
コネクタ サーバーで、Microsoft Entra 管理センターを開きます。 [グローバル セキュア アクセス]>[接続する]>[コネクタ] に移動し、[プライベート ネットワーク コネクタを有効にする] をクリックします。 [コネクタ サービスのダウンロード] をクリックします。
プライベート ネットワーク コネクタ用の新しいコネクタ グループを作成します。
インストール ウィザードに従って、コネクタ サービスをコネクタ サーバーにインストールします。 メッセージが表示されたら、テナント資格情報を入力してインストールを完了します。
コネクタの一覧にコネクタ サーバーが表示されていることを確認して、コネクタ サーバーが新しいコネクタ グループにインストールされていることを確かめます。
このガイドでは、1 つのコネクタ サーバーで新しいコネクタ グループを使用します。 運用環境では、複数のコネクタ サーバーを含むコネクタ グループを作成する必要があります。 コネクタ グループを使用して別のネットワーク内でアプリを発行するための詳細なガイダンスを参照してください。
アプリケーションの発行
Microsoft Entra Private Access は、任意のポートを使用する伝送制御プロトコル (TCP) アプリケーションをサポートします。 インターネット経由で RDP (TCP ポート 3389) を使用してアプリケーション サーバーに接続するには、次のステップを実行します。
コネクタ サーバーから、アプリケーション サーバーにリモート デスクトップで接続できることを確認します。
Microsoft Entra 管理センターを開き、[グローバル セキュア アクセス]>[アプリケーション]>[エンタープライズ アプリケーション]>[+ 新しいアプリケーション] に移動します。
名前 (Server1 など) を入力し、新しいコネクタ グループを選択します。 [+アプリケーション セグメントを追加する]をクリックします。 アプリケーション サーバーおよび ポート 3389 の IP アドレス を入力します。
[適用]>[保存] をクリックします。 アプリケーションが [エンタープライズ アプリケーション] の一覧に追加されたことを確認します。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] に移動し、新しく作成したアプリケーションをクリックします。
[ユーザーとグループ] をクリックします。 インターネットからそのアプリケーションにアクセスする予定のテスト ユーザーを追加します。
テスト クライアント デバイスにサインインして、アプリケーション サーバーへのリモート デスクトップ接続を開きます。
PoC シナリオのサンプル: 条件付きアクセスを適用する
条件付きアクセス ポリシーは、Microsoft Entra Private Access で発行されたアプリケーションに適用できます。 このガイダンスを使用して、ユーザーに、リモート デスクトップからアプリケーション サーバーへの電話によるサインイン (Microsoft Authenticator) を適用します。
Microsoft Entra 管理センターを開きます。 [ID]>[保護]>条件付きアクセス>認証の強度に進みます。 [+新しい認証強度を追加する] を選択します。
新しい認証強度を作成して、Microsoft Authenticator (電話によるサインイン)を要求します。
[ポリシー] に移動します
新しい条件付きアクセス ポリシーを、次のようにして作成します。
- ユーザー: 特定のユーザーを選択する
- ターゲット リソース: 特定の発行済みアプリを選択する
- 許可>アクセス権の付与 -- 認証強度の要求 (上記で作成した認証強度を選択します)
条件付きアクセス ポリシーの適用を迅速化するには、Windows タスクバーで [Global Secure Access] クライアントを右クリックします。 [ユーザーの切り替え] を選択します。 認証を求めるメッセージが表示されるまで数秒待ちます。
アプリケーション サーバーへのリモート デスクトップ接続を開きます。 サインイン ログをチェックする、または予想される認証強度が求められることを確認した上で、条件付きアクセスの適用を確認します。
PoC シナリオのサンプル: 複数のユーザーによる複数のアプリへのアクセスを制御する
前のセクションでは、1 人のユーザーの 1 つのアプリケーションに対して条件付きアクセスを適用しました。 運用環境では、複数のアプリケーションとユーザーに対するアクセス制御が必要です。
このシナリオで、マーケティング部門のユーザーは、RDP を使用して、Server1 へのリモート デスクトップ セッションを開く必要があります。 さらに、開発者部門のユーザーは、SMB プロトコルを使用してサーバー上のファイル共有にアクセスする必要があります。 各アプリケーションに対するアクセス許可は、マーケティング部門のユーザーが Server1 にリモート デスクトップで接続できても、Server1 のファイル共有にはアクセスできないように構成されています。 追加のアクセス制御のために、マーケティング部門のユーザーに MFA を適用し、開発者部門のユーザーがリソースへのアクセスをする場合に使用条件に同意する必要があります。
Microsoft Entra 管理センターを開き、FirstUser や SecondUser などの 2 つのテスト ユーザーを作成します。
マーケティングと開発者それぞれでグループを作成します。 FirstUser を Marketing グループに追加し、SecondUser を Developers グループに追加します。
Global Secure Access> アプリケーション>エンタープライズ アプリケーションに進みます。 [アプリケーションの発行] セクションからテスト アプリケーションを選択します。 以前のテスト ユーザーを [ユーザーとグループ] から削除し、Marketing グループに置き換えます。
ポート 445 で SMB プロトコルを使用して、アプリケーションサーバーに接続する 2 つ目のアプリケーションを作成します。
新しい SMB アプリケーションの [ユーザーとグループ] に [開発者] グループを追加します。
マーケティング ユーザー ID FirstUser を使用してテスト クライアント デバイスにサインインします。 FirstUser が Server1 へのリモート デスクトップ接続を正常に開くことができて、さらに、Developer グループ ユーザー SecondUser が Server1 へのリモート デスクトップ接続を開くのがブロックされていることを確認します。
開発者ユーザー SecondUser を使用してテスト クライアント デバイスにサインインし、Server1 内のファイル共有に正常に接続できることを確認します。 Marketing ユーザー FirstUser が同じファイル共有に接続できないことを確認します。
条件付きアクセス ポリシーを作成して、コントロールを追加します。
- 条件付きアクセス ポリシー 1
- 値の名前: MarketingToServer1
- ユーザー: マーケティング グループ
- ターゲット リソース: RDPToServer1
- 許可: アクセス権を付与し、多要素認証を要求する
- セッション: サインイン頻度 1 時間
- 条件付きアクセス ポリシー 2
- 名前: DevelopersToServer1
- ユーザー: 開発者グループ
- ターゲット リソース: SMBToServer1
- 許可: アクセス権を付与し、利用規約を要求する
- セッション: サインイン頻度 1 時間
- 条件付きアクセス ポリシー 1
それぞれのユーザーでサインインし、条件付きアクセス ポリシーを確認します。
PoC シナリオのサンプル: トラフィック ログからアプリケーション アクセスを確認する
Microsoft Entra Private Access 経由でアクセスされたアプリケーションを、トラフィック ログを使用して監視できます。
Microsoft Entra 管理センターを開きます。 Global Secure Access>モニター>トラフィック ログに移動します。
[プライベート アクセス] を選択してフィルターを適用します。
各ログを選択すると、ユーザーおよびアクセスされたアプリケーションに関する特定の情報を含むアクティビティの詳細が表示されます。
[フィルターの追加] を選択して、目的の情報を検索します (例えば、ユーザー プリンシパル名に UserA が含まれるなど)。
Note
sourceIp セクションに記載されている IP アドレスは、クライアントのパブリック IP アドレスであり、Microsoft のセキュリティ サービス エッジ ソリューション ネットワークの IP アドレスではありません。
次のステップ
Microsoft トラフィック用 Microsoft Entra Internet Access の展開と検証Microsoft Entra Internet Access の展開と検証