グローバル セキュリティで保護されたアクセスのアプリケーション検出 (プレビュー)
重要
アプリケーションの検出は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
アプリケーション検出を使用すると、管理者は企業ネットワーク内のアプリケーションの使用状況を包括的に把握できます。 管理者は、どのアプリケーションが誰にアクセスされているかを特定することで、正確にセグメント化し、最小限の権限でプライベートアプリケーションを作成し、不要なアクセスを最小限に抑えることができます。
クイック アクセスを使用すると、従来の VPN ソリューションと同様に、幅広い IP 範囲とワイルドカード FQDN を発行することで、Private Access にすばやくオンボードできます。 その後、クイック アクセスからアプリケーションごとの発行に移行して、各アプリケーションの制御と細分性を向上させることができます。 たとえば、条件付きアクセス ポリシーを作成し、アプリケーションごとにユーザー割り当てを設定できます。
この記事では、アプリケーション検出を使用して(クイック アクセスを使用して) アクセスするアプリケーションを検出し、個別のプライベート アプリケーションを作成するプロセスについて説明します。
前提 条件
- Microsoft Entra Private Access にオンボードされた Microsoft Entra テナント。
- クイック アクセスで構成された Microsoft Entra テナント。
- グローバル セキュア アクセス クライアント (windows、macOS、Android、iOS) で構成されたデバイス。
アプリケーションの検出
過去 30 日間にグローバル セキュア アクセス クライアント経由でユーザーがアクセスしたクイック アクセスのすべてのアプリケーション セグメントの一覧を表示するには:
- グローバル セキュリティで保護されたアクセス管理者として、Microsoft Entra 管理センター にサインインします。
-
グローバル セキュア アクセス>アプリケーション>アプリケーション検出を参照します。
既定では、アプリケーション検出 ビューでは、ユーザー数に応じてアプリケーション セグメントが降順に並べ替えられます。 この既定の並べ替え順序により、最も頻繁に使用されるアプリケーション セグメントが一覧の先頭に移動され、管理者に表示されるようになります。
管理者は、時間範囲の調整、他のフィルターの追加、各列に従ったアプリケーション セグメントの並べ替えを行うことができます。 管理者は、ユーザー でフィルター処理を
アプリケーション セグメントごとに次の列を使用できます。
- 宛先 FQDN: アプリケーション セグメントの FQDN。
- 宛先 IP: アプリケーション セグメントの IP。
- トランスポート プロトコル: アプリケーション セグメントのトランスポート プロトコル。 プライベート アクセスでは現在、伝送制御プロトコル (TCP) とユーザー データグラム プロトコル (UDP) がサポートされています。
- 宛先ポート: アプリケーション セグメントのポート。
- ユーザー: アプリケーション セグメントにアクセスしたユーザーの数。
- トランザクション: アプリケーション セグメントへのトランザクション (接続) の数。
- デバイス - アプリケーション セグメントへのアクセスに使用されたデバイスの数。
- 送信バイト: ユーザー デバイスがアプリケーション セグメントに送信したデータの合計バイト数。
- 受信バイト: ユーザー デバイスがアプリケーション セグメントから受信したデータの合計バイト数。
- 最終アクセス: アプリケーション セグメントがアクセスされた時間範囲内の最後の時刻。
- 最初のアクセス: アプリケーション セグメントがアクセスされた時間範囲内で初めて。
新しいアプリケーションを作成する
アプリケーション検出を使用して、メイン テーブルの検出されたアプリケーション セグメントに基づいて新しい Microsoft Entra ID アプリケーションを作成します。 アプリケーション セグメントを新しいアプリケーションに追加するには:
- アプリケーション検出の一覧から、作成するアプリケーションに対応する 1 つ以上のアプリケーション セグメントを選択します。
- 多くの場合、1 つのアプリケーションで 1 つのアプリケーション セグメントが使用されます。 例えば:
- ファイル サーバー (
filesrv.contoso.com
、TCP、445 など)。 - ポータル (
internalportal.contoso.com
、TCP、443 など)。
- ファイル サーバー (
- ただし、1 つのアプリケーションで複数のポート、プロトコル、または複数のサーバー (FQDN/IP) にまたがる場合があります。 この場合は、複数のアプリケーション セグメントを選択し、他のアプリケーション セグメントを手動で追加することもできます。 例えば:
- 特定の AD サイトでの ADDS サービスの発行:
dc1.contoso.com
とdc2.contoso.com
、TCP、 88、135、137、138、389、445、464、636、3268、3269、および Netlogondc1.contoso.com
およびdc2.contoso.com
、UDP、88、123、389、464 用の固定ハイ ポート。
- 特定の AD サイトでの ADDS サービスの発行:
- ADDS ポートの包括的な一覧については、「Active Directory ドメインと信頼のファイアウォールを構成する方法」を参照してください。
- 多くの場合、1 つのアプリケーションで 1 つのアプリケーション セグメントが使用されます。 例えば:
-
を新しいアプリケーションに追加を選択します。
グローバル セキュア アクセス アプリケーションの作成 画面が開き、選択したアプリケーション セグメントが表示されます。
- アプリケーションに 名 を指定し、対応する コネクタ グループを選択します。
- アプリケーション セグメントを手動で追加または削除することもできます。
- 変更を適用するには、[保存]を選択します。
- 新しいアプリケーションに割り当てられたユーザーとグループを調整して、適切なユーザーのアクセスを有効にします。
- アプリケーションを作成した "後"、割り当てを微調整する必要があります。 これにより、最小特権の原則に従って、新しいアプリケーションへのアクセスを必要とするユーザーのグループのみがリストに含まれます。
- エンタープライズ アプリケーションの場合:
- グローバル セキュア アクセス>アプリケーション>エンタープライズ アプリケーションを参照し、>ユーザーとグループを確認します。
- 作成したアプリケーションを選択します。
- 必要に応じて、ユーザーとグループの割り当てを変更します。
重要
グローバル セキュリティで保護されたアクセスは、クイック アクセスよりも高い個別に定義されたアプリケーションのトラフィックに優先順位を付けます。 つまり、アプリケーション セグメントをクイック アクセスから特定のグローバル セキュア アクセス アプリに移動すると、そのアプリケーション セグメントにルーティングされるすべてのトラフィックが、アプリケーションの構成に従ってルーティングされます。 新しいアプリケーションへのトラフィックは、クイック アクセスによって定義された範囲内にアプリケーション セグメントが保持される場合でも、クイック アクセス経由でルーティングされません。 その結果、サービスの中断を回避するために、アプリケーション検出によって作成した新しいアプリケーションは、割り当てられたすべてのユーザーとグループをクイック アクセス (作成時) から継承します。 新しいアプリケーションが検証されたら、アプリケーション内で定義されているアプリケーション セグメントに接続する必要があるユーザーのみに、アプリケーションのアクセス許可を再スコープする必要があります。
- (省略可能)セキュリティを強化するために、会社のセキュリティ ポリシーに従って条件付きアクセス ポリシーを設定できます。 たとえば、ユーザーが重要なアプリケーションにアクセスするときに、多要素認証 (MFA) とデバイスコンプライアンスを要求できます。
手記
アプリケーションセグメントは、ユーザーが新しいアプリケーションにサインインしてリソースにアクセスするまで、アプリケーションを作成した後でもアプリケーション検出メイン テーブルに保持されます。 今後、アプリケーション検出のメイン テーブルは、ユーザーの操作に関係なく更新されます。
既存のアプリケーションに追加する
アプリケーション検出を使用して、既存のプライベート アプリケーションにアプリケーション セグメントを追加できます。 既存のアプリケーションにアプリケーション セグメントを追加するには:
- アプリケーション検出リストから、1 つ以上のアプリケーション セグメントを選択します。
- [既存のアプリケーションの追加] を選択します。
- セグメントを追加する既存のプライベート アプリケーションを選択します。 グローバル セキュア アクセス アプリケーションの編集 画面が開き、既存のアプリケーションのプロパティ、選択したアプリケーション セグメント (状態 保留中の)、および以前に構成されたアプリケーション セグメント (状態 成功) が表示されます。
- 構成を確認し、名前、コネクタ グループの、アプリケーション セグメントを変更し、必要な変更を加えます。
- 変更を適用するには、[保存]を選択します。
アプリケーション セグメントの詳細を表示する
プライベート アプリケーションを作成する前に、アプリケーション セグメントのその他の詳細を確認する必要があります。
- アプリケーション検出テーブルで、探索するアプリケーション セグメントの 宛先 FQDN または 宛先 IP を選択します。
- [使用状況] タブの既定では、時間の経過と ユーザー のグラフが表示されます。 グラフを設定して、
トランザクション 、デバイス 、バイト 、および時間の経過と に受信したバイトの分布を表示できます。 タイムスパン の設定を調整して、時間範囲を変更することもできます。 - [ユーザー] タブには、過去 30 日間に選択したアプリケーション セグメントにアクセスしたユーザーの一覧が表示されます。
重要
ユーザーの一覧を使用して、選択したアプリケーション セグメントをオンボードした後に Entra アプリケーションに割り当てる予定のユーザーとグループに関して行った決定を通知します。
関連コンテンツ
- グローバル セキュア アクセス のクイック アクセスを構成する方法