すべてのアプリに対する Microsoft Entra Internet Access について説明します
Microsoft Entra Internet Access は、サービスとしてのソフトウェア (SaaS) アプリケーションやその他のインターネット トラフィック向けに ID を中心とした Secure Web Gateway (SWG) ソリューションを提供します。 クラス最高のセキュリティ制御とトラフィック ログによる可視性により、インターネットの広範な脅威からユーザー、デバイス、データを保護します。
Web コンテンツ フィルタリング
すべてのアプリに対する Microsoft Entra Internet Access の主要な入門機能は、Web コンテンツのフィルター処理です。 この機能により、Web カテゴリと完全修飾ドメイン名 (FQDN) に対するきめ細かなアクセス制御が提供されます。 既知の不適切、悪質、または安全でない既知のサイトを明示的にブロックすることで、リモートであるか企業ネットワーク内であるかを問わず、あらゆるインターネット接続からユーザーとそのデバイスを保護します。
トラフィックが Microsoft の Secure Service Edge に到達すると、Microsoft Entra Internet Access は 2 つの方法でセキュリティ制御を実行します。 暗号化されていない HTTP トラフィックでは、Uniform Resource Locator (URL) が使用されます。 トランスポート層セキュリティ (TLS) で暗号化された HTTPS トラフィックでは、Server Name Indication (SNI) が使用されます。
Web コンテンツ のフィルター処理は、フィルター ポリシーを使用して実装されます。このポリシーはセキュリティ プロファイルにグループ化され、条件付きアクセス ポリシーにリンクできます。 条件付きアクセスの詳細については、「Microsoft Entra の条件付きアクセス」を参照してください。
Note
Web コンテンツフィルタリングは Secure Web Gateway のコア機能ですが、Microsoft Defender for Endpoint などのエンドポイント セキュリティ製品や、Azure Firewall などのファイアウォールといった、他のセキュリティ製品にも同様の機能があります。 Microsoft Entra Internet Access は、Microsoft Entra ID とのポリシー統合、クラウド エッジでのポリシーの適用、すべてのデバイス プラットフォームのためのユニバーサル サポート、トランスポート層セキュリティ (TLS) 検査による将来のセキュリティ強化 (より忠実度の高い Web 分類など) を通じて、さらなるセキュリティ価値を提供します。 詳細については、FAQを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、フィルター ポリシーをグループ化し、ユーザーを考慮した条件付きアクセス ポリシーを介して配信するために使用するオブジェクトです。 たとえば、ユーザー angie@contoso.com を除く msn.com 以外のすべての ニュース Web サイトをブロックするには、2 つの Web フィルター ポリシーを作成し、セキュリティ プロファイルに追加します。 次に、セキュリティ プロファイルを取得し、angie@contoso.com に割り当てられた条件付きアクセス ポリシーにリンクします。
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
ポリシー処理ロジック
セキュリティ プロファイル内では、独自の優先度の論理順序に従ってポリシーが適用されます。これは、100 が最も優先度が高く、65,000 が最も優先度が低くなっています (従来のファイアウォール論理と同様です)。 成功事例として、将来のポリシーの柔軟性を確保するために、優先順位の間に約 100 の間隔を追加します。
セキュリティ プロファイルを条件付きアクセス (CA) ポリシーにリンクすると、複数の CA ポリシーが一致する場合、一致するセキュリティ プロファイルの優先順位に従って、両方のセキュリティ プロファイルが処理されます。
重要
ベースライン セキュリティ プロファイルは、条件付きアクセス ポリシーにリンクしていなくても、すべてのトラフィックに適用されます。 これにより、ポリシー スタック内で最も低い優先順位でポリシーが適用され、このサービスを介してルーティングされるすべてのインターネット アクセス トラフィックに "キャッチオール" ポリシーとして適用されます。 条件付きアクセス ポリシーが別のセキュリティ プロファイルと一致する場合でも、ベースライン セキュリティ プロファイルが実行されます。
既知の制限事項
- プラットフォームでは、HTTP/S トラフィックの標準ポート (ポート 80 および 443) が想定されています。
- このプラットフォームでは、IPv6 はまだサポートされていません。
- UDP は、まだこのプラットフォームではサポートされていません。
- ユーザー フレンドリなエンド ユーザー通知が開発中です。
- インターネット アクセスのリモート ネットワーク接続は開発中です。
- トランスポート層セキュリティ (TLS) 終端は開発中です。
- HTTP トラフィックと HTTPS トラフィックの URL パス ベースのフィルター処理と URL 分類は開発中です。
- 現在、管理者は、最大 8,000 個の FQDN に基づいて、最大 100 個の Web コンテンツ フィルタリング ポリシーと最大 1,000 個のルールを作成できます。 管理では、最大 256 個のセキュリティ プロファイルを作成することもできます。