次の方法で共有


グローバル セキュリティで保護されたアクセスのアプリケーション検出 (プレビュー)

重要

アプリケーションの検出は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。

アプリケーション検出を使用すると、管理者は企業ネットワーク内のアプリケーションの使用状況を包括的に把握できます。 管理者は、どのアプリケーションが誰にアクセスされているかを特定することで、正確にセグメント化し、最小限の権限でプライベートアプリケーションを作成し、不要なアクセスを最小限に抑えることができます。

クイック アクセスを使用すると、従来の VPN ソリューションと同様に、幅広い IP 範囲とワイルドカード FQDN を発行することで、Private Access にすばやくオンボードできます。 その後、クイック アクセスからアプリケーションごとの発行に移行して、各アプリケーションの制御と細分性を向上させることができます。 たとえば、条件付きアクセス ポリシーを作成し、アプリケーションごとにユーザー割り当てを設定できます。

この記事では、アプリケーション検出を使用して(クイック アクセスを使用して) アクセスするアプリケーションを検出し、個別のプライベート アプリケーションを作成するプロセスについて説明します。

前提 条件

アプリケーションの検出

過去 30 日間にグローバル セキュア アクセス クライアント経由でユーザーがアクセスしたクイック アクセスのすべてのアプリケーション セグメントの一覧を表示するには:

  1. グローバル セキュリティで保護されたアクセス管理者として、Microsoft Entra 管理センター にサインインします。
  2. グローバル セキュア アクセス>アプリケーション>アプリケーション検出を参照します。 アプリケーション検出画面のスクリーンショット。

既定では、アプリケーション検出 ビューでは、ユーザー数に応じてアプリケーション セグメントが降順に並べ替えられます。 この既定の並べ替え順序により、最も頻繁に使用されるアプリケーション セグメントが一覧の先頭に移動され、管理者に表示されるようになります。

管理者は、時間範囲の調整、他のフィルターの追加、各列に従ったアプリケーション セグメントの並べ替えを行うことができます。 管理者は、ユーザー でフィルター処理を して、特定のユーザーがアクセスしたアプリケーション セグメントの一覧を表示することもできます。 Search フィールドから、管理者は完全修飾ドメイン名 (FQDN)、IP アドレス、およびポート アドレスでフィルター処理できます。

アプリケーション セグメントごとに次の列を使用できます。

  • 宛先 FQDN: アプリケーション セグメントの FQDN。
  • 宛先 IP: アプリケーション セグメントの IP。
  • トランスポート プロトコル: アプリケーション セグメントのトランスポート プロトコル。 プライベート アクセスでは現在、伝送制御プロトコル (TCP) とユーザー データグラム プロトコル (UDP) がサポートされています。
  • 宛先ポート: アプリケーション セグメントのポート。
  • ユーザー: アプリケーション セグメントにアクセスしたユーザーの数。
  • トランザクション: アプリケーション セグメントへのトランザクション (接続) の数。
  • デバイス - アプリケーション セグメントへのアクセスに使用されたデバイスの数。
  • 送信バイト: ユーザー デバイスがアプリケーション セグメントに送信したデータの合計バイト数。
  • 受信バイト: ユーザー デバイスがアプリケーション セグメントから受信したデータの合計バイト数。
  • 最終アクセス: アプリケーション セグメントがアクセスされた時間範囲内の最後の時刻。
  • 最初のアクセス: アプリケーション セグメントがアクセスされた時間範囲内で初めて。

新しいアプリケーションを作成する

アプリケーション検出を使用して、メイン テーブルの検出されたアプリケーション セグメントに基づいて新しい Microsoft Entra ID アプリケーションを作成します。 アプリケーション セグメントを新しいアプリケーションに追加するには:

  1. アプリケーション検出の一覧から、作成するアプリケーションに対応する 1 つ以上のアプリケーション セグメントを選択します。 2 つのセグメントが選択されているアプリケーション セグメントの一覧のスクリーンショット。
    1. 多くの場合、1 つのアプリケーションで 1 つのアプリケーション セグメントが使用されます。 例えば:
      • ファイル サーバー (filesrv.contoso.com、TCP、445 など)。
      • ポータル (internalportal.contoso.com、TCP、443 など)。
    2. ただし、1 つのアプリケーションで複数のポート、プロトコル、または複数のサーバー (FQDN/IP) にまたがる場合があります。 この場合は、複数のアプリケーション セグメントを選択し、他のアプリケーション セグメントを手動で追加することもできます。 例えば:
      • 特定の AD サイトでの ADDS サービスの発行: dc1.contoso.comdc2.contoso.com、TCP、 88、135、137、138、389、445、464、636、3268、3269、および Netlogon dc1.contoso.com および dc2.contoso.com、UDP、88、123、389、464 用の固定ハイ ポート。
    3. ADDS ポートの包括的な一覧については、「Active Directory ドメインと信頼のファイアウォールを構成する方法」を参照してください。
  2. を新しいアプリケーションに追加を選択します。 グローバル セキュア アクセス アプリケーションの作成 画面が開き、選択したアプリケーション セグメントが表示されます。
    1. アプリケーションに を指定し、対応する コネクタ グループを選択します。
    2. アプリケーション セグメントを手動で追加または削除することもできます。
    3. 変更を適用するには、[保存]を選択します。 [名前] フィールド、[コネクタ グループ] フィールド、および [保存] ボタンが強調表示されている [グローバル なセキュリティで保護されたアクセスアプリケーションの作成] 画面のスクリーンショット。
  3. 新しいアプリケーションに割り当てられたユーザーとグループを調整して、適切なユーザーのアクセスを有効にします。
    1. アプリケーションを作成した "後"、割り当てを微調整する必要があります。 これにより、最小特権の原則に従って、新しいアプリケーションへのアクセスを必要とするユーザーのグループのみがリストに含まれます。
    2. エンタープライズ アプリケーションの場合:
      1. グローバル セキュア アクセス>アプリケーション>エンタープライズ アプリケーションを参照し、>ユーザーとグループを確認します。
      2. 作成したアプリケーションを選択します。
      3. 必要に応じて、ユーザーとグループの割り当てを変更します。

重要

グローバル セキュリティで保護されたアクセスは、クイック アクセスよりも高い個別に定義されたアプリケーションのトラフィックに優先順位を付けます。 つまり、アプリケーション セグメントをクイック アクセスから特定のグローバル セキュア アクセス アプリに移動すると、そのアプリケーション セグメントにルーティングされるすべてのトラフィックが、アプリケーションの構成に従ってルーティングされます。 新しいアプリケーションへのトラフィックは、クイック アクセスによって定義された範囲内にアプリケーション セグメントが保持される場合でも、クイック アクセス経由でルーティングされません。 その結果、サービスの中断を回避するために、アプリケーション検出によって作成した新しいアプリケーションは、割り当てられたすべてのユーザーとグループをクイック アクセス (作成時) から継承します。 新しいアプリケーションが検証されたら、アプリケーション内で定義されているアプリケーション セグメントに接続する必要があるユーザーのみに、アプリケーションのアクセス許可を再スコープする必要があります。

  1. (省略可能)セキュリティを強化するために、会社のセキュリティ ポリシーに従って条件付きアクセス ポリシーを設定できます。 たとえば、ユーザーが重要なアプリケーションにアクセスするときに、多要素認証 (MFA) とデバイスコンプライアンスを要求できます。

手記

アプリケーションセグメントは、ユーザーが新しいアプリケーションにサインインしてリソースにアクセスするまで、アプリケーションを作成した後でもアプリケーション検出メイン テーブルに保持されます。 今後、アプリケーション検出のメイン テーブルは、ユーザーの操作に関係なく更新されます。

既存のアプリケーションに追加する

アプリケーション検出を使用して、既存のプライベート アプリケーションにアプリケーション セグメントを追加できます。 既存のアプリケーションにアプリケーション セグメントを追加するには:

  1. アプリケーション検出リストから、1 つ以上のアプリケーション セグメントを選択します。
  2. [既存のアプリケーションの追加] を選択します。
  3. セグメントを追加する既存のプライベート アプリケーションを選択します。 グローバル セキュア アクセス アプリケーションの編集 画面が開き、既存のアプリケーションのプロパティ、選択したアプリケーション セグメント (状態 保留中の)、および以前に構成されたアプリケーション セグメント (状態 成功) が表示されます。
  4. 構成を確認し、名前コネクタ グループの、アプリケーション セグメントを変更し、必要な変更を加えます。
  5. 変更を適用するには、[保存]を選択します。 [状態] 列と [保存] ボタンが強調表示された [グローバルなセキュリティで保護されたアクセスの編集] アプリケーション画面のスクリーンショット。

アプリケーション セグメントの詳細を表示する

プライベート アプリケーションを作成する前に、アプリケーション セグメントのその他の詳細を確認する必要があります。

  1. アプリケーション検出テーブルで、探索するアプリケーション セグメントの 宛先 FQDN または 宛先 IP を選択します。
  2. [使用状況] タブの既定では、時間の経過と ユーザー のグラフが表示されます。 グラフを設定して、トランザクションデバイスバイト、および時間の経過と に受信した バイトの分布を表示できます。 タイムスパン の設定を調整して、時間範囲を変更することもできます。 Y 軸の表示オプションが強調表示されている [使用状況] タブのスクリーンショット。
  3. [ユーザー] タブには、過去 30 日間に選択したアプリケーション セグメントにアクセスしたユーザーの一覧が表示されます。
    ユーザーの一覧を示す [ユーザー] タブのスクリーンショット。

重要

ユーザーの一覧を使用して、選択したアプリケーション セグメントをオンボードした後に Entra アプリケーションに割り当てる予定のユーザーとグループに関して行った決定を通知します。