Global Secure Access 用のリモート ネットワークを作成する方法
リモート ネットワークとは、インターネット接続を必要とするリモート拠点 (ブランチ オフィスなど) またはネットワークです。 リモート ネットワークを設定すると、リモート拠点にあるユーザーが Global Secure Access に接続されます。 リモート ネットワークを構成したら、トラフィック転送プロファイルを割り当てて企業ネットワーク トラフィックを管理できます。 Global Secure Access では、リモート ネットワーク接続が提供されるため、アウトバウンド トラフィックにネットワーク セキュリティ ポリシーを適用できます。
リモート ネットワークを Global Secure Access に接続するには、複数の方法があります。 簡単に言うと、リモート ネットワーク上の、顧客のオンプレミス機器 (CPE) と呼ばれるコア ルーターと、最も近い Global Secure Access エンドポイントとの間にインターネット プロトコル セキュリティ (IPSec) トンネルを作成します。 インターネット宛のトラフィックは全て、クラウドでのセキュリティ ポリシー評価のために、リモート ネットワークのコア ルーターを介してルーティングされます。 個々のデバイスにクライアントをインストールする必要はありません。
この記事では、Global Secure Access 用のリモート ネットワークを作成する方法について説明します。
前提条件
リモート ネットワークを構成するために必要な前提条件は以下のとおりです。
- Microsoft Entra ID の Global Secure Access 管理者ロールがあること。
- この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
- Microsoft トラフィック転送プロファイルを使用する場合は、Microsoft 365 E3 ライセンスをお勧めします。
- 顧客のオンプレミス機器 (CPE) は、次のプロトコルをサポートする必要があります。
- インターネット プロトコル セキュリティ (IPSec)
- インターネット キー交換 (IKE) フェーズ 2 ネゴシエーション向け GCMEAES128、GCMAES192、または GCMAES256 アルゴリズム
- Internet Key Exchange Version 2 (IKEv2)
- Border Gateway Protocol (BGP)
- リモート ネットワークの設定に有効な構成を確認します。
- リモート ネットワーク接続ソリューションは、任意の環境間 (ワイルドカードまたは 0.0.0.0/0) トラフィック セレクターを使用した RouteBased VPN 構成を使用します。 CPE に正しいトラフィック セレクターが設定されていることを確認してください。
- リモート ネットワーク接続ソリューションでは、Responder モードが使用されます。 CPE では、接続を開始する必要があります。
既知の制限事項
- テナントあたりのリモート ネットワークの数は 10 に制限されています。 リモート ネットワークあたりのデバイス リンクの数は 4 個に制限されています。
- Microsoft トラフィックは、グローバル セキュア アクセス クライアントなしでリモート ネットワーク接続経由でアクセスされます。 ただし、条件付きアクセス ポリシーは適用されません。 つまり、グローバル セキュア アクセスの Microsoft トラフィックに対する条件付きアクセス ポリシーは、ユーザーがグローバル セキュア アクセス クライアントを持っているときにのみ適用されます。
- Microsoft Entra Private Access では、Global Secure Access クライアントを使用する必要があります。 リモート ネットワーク接続は、Microsoft Entra Internet Access のみサポートしています。
大まかな手順
リモート ネットワークは、Microsoft Entra 管理センターまたは Microsoft Graph API で作成できます。
大まかに言えば、リモート ネットワークを作成し、アクティブな IPsec トンネルを構成するには、次の 5 つの手順があります。
基本: リモート ネットワークの [名前] や [リージョン] などの基本的な詳細を入力します。 リージョン では、IPsec トンネルのもう一方の終端を設定する場所を指定します。 トンネルのもう一方の端は、ルーターまたは CPE です。
接続性: デバイス リンク (または IPsec トンネル) をリモート ネットワークに追加します。 この手順では、Microsoft Entra 管理センターにルーターの詳細を入力し、IKE ネゴシエーションがどこから行われるかを Microsoft に伝達します。
トラフィック転送プロファイル: トラフィック転送プロファイルをリモート ネットワークに関連付けます。これは、IPsec トンネル経由で取得されるトラフィックを指定します。 BGP を介した動的ルーティングを使用します。
CPE 接続構成の表示: Microsoft 側のトンネルの IPsec トンネルの詳細を取得します。 [接続性] の手順では、ルーターの詳細を Microsoft に提供しました。 この手順では、Microsoft の側の接続構成を取得します。
CPE の設定: 前の手順からの Microsoft の接続構成を、ルーターまたは CPE の管理コンソールに入力します。 この手順は、Microsoft Entra 管理センター上での手順ではありません。
リモート ネットワークは、3 つのタブで構成されます。 それぞれのタブを順番に完了する必要があります。 タブが完了したら、ページの上部から次のタブを選択するか、ページの下部にある [次へ] ボタンを選択します。
基本操作
最初の手順では、リモート ネットワークの名前と場所を指定します。 このタブの入力は必須です。
- Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
- [Global Secure Access]>[接続]>[リモート ネットワーク] の順に移動します。
- [リモート ネットワークの作成] ボタンを選択し、詳細情報を指定します。
- 名前
- リージョン
接続
[接続] タブでは、リモート ネットワークのデバイス リンクを追加します。 リモート ネットワークを作成した "後" にデバイス リンクを追加できます。 デバイス リンクごとに、デバイスの種類、CPE のパブリック IP アドレス、ボーダー ゲートウェイ プロトコル (BGP) アドレス、自律システム番号 (ASN) を指定する必要があります。
[接続] タブを完了するために必要な詳細は複雑になる場合があります。 詳細については、「リモート ネットワークのデバイス リンクを管理する方法」を参照してください。
トラフィック転送プロファイル
リモート ネットワークを作成するときに、トラフィック転送プロファイルにリモート ネットワークを割り当てることができます。 また、後でリモート ネットワークを割り当てることもできます。 詳細については、「トラフィック転送の概要」を参照してください。
- [次へ] ボタンを選択するか、[トラフィック プロファイル] タブを選択します。
- 適切なトラフィック転送プロファイルを選択します。
- [確認および作成] ボタンを選択します。
プロセスの最後のタブでは、指定したすべての設定を確認します。 ここに記載されている詳細を確認し、[リモート ネットワークの作成] ボタンを選択します。
CPE 接続構成を表示する
すべてのリモート ネットワークが [リモート ネットワーク] ページに表示されます。 [接続に関する詳細] 列の [構成の表示] リンクを選択すると、構成の詳細が表示されます。
これらの詳細には、CPE の設定に使用する双方向通信チャネルの Microsoft 側からの接続情報が含まれています。
このプロセスについては、「顧客のオンプレミス機器を構成する方法」で詳しく説明します。
CPE のセットアップ
この手順は、Microsoft Entra 管理センターではなく、CPE の管理コンソールで実行されます。 この手順が完了するまで、IPsec は設定されません。 IPsec は双方向通信です。 トンネルが正常に設定される前に、IKE ネゴシエーションが 2 つのパーティ間で行われます。 そのため、この手順を見逃さないようにしてください。
リモート ネットワーク構成を確認する
リモート ネットワークを作成するときに考慮し、確認する必要がある点がいくつかあります。 一部の設定をダブルチェックすることが必要な場合があります。
IKE 暗号化プロファイルの確認: デバイス リンクに設定された暗号化プロファイル (IKE フェーズ 1 とフェーズ 2 のアルゴリズム) は、CPE で設定されているものと一致する必要があります。 既定の IKE ポリシーを選択した場合は、「リモート ネットワーク構成」のリファレンス記事で指定されている暗号化プロファイルで CPE が設定されていることを確認します。
事前共有キーの確認: Microsoft Global Secure Access でデバイス リンクを作成するときに指定した事前共有キー (PSK) と、CPE で指定した PSK を比較します。 この詳細は、[リンクの追加] プロセス中に [セキュリティ] タブに追加 されます。 詳細については、「リモート ネットワークのデバイス リンクを管理する方法」を参照してください。
ローカルとピアの BGP IP アドレスを確認する: CPE の構成に使用するパブリック IP アドレスと BGP アドレスは、Microsoft グローバル セキュリティで保護されたアクセスでデバイス リンクを作成するときに使用するアドレスと一致する必要があります。
- 予約済みで使用できない値については、有効な BGP アドレスの一覧を参照してください。
- ローカル BGP アドレスとピア BGP アドレスは、CPE と Global Secure Access に入力されたものの間で入れ替わります。
- CPE: ローカル BGP IP アドレス = IP1、ピア BGP IP アドレス = IP2
- Global Secure Access: ローカル BGP IP アドレス = IP2、ピア BGP IP アドレス = IP1
- オンプレミス ネットワークと重複しない Global Secure Access の IP アドレスを選択します。
ASN の確認: Global Secure Access では、BGP を使用して、ネットワークと Microsoft の 2 つの自律システム間のルートを公開します。 これらの自律システムには、異なる自律システム番号 (ASN) が必要です。
- 予約済みで使用できない値については、有効な ASN 値の一覧を参照してください。
- Microsoft Entra 管理センターでリモート ネットワークを作成する場合は、ネットワークの ASN を使用します。
- CPE を構成するときは、Microsoft の ASN を使用します。 [Global Secure Access ]>[デバイス]>[リモート ネットワーク] に移動します。 [リンク] を選択し、[リンク ASN] 列の値を確認します。
パブリック IP アドレスの確認: テスト環境またはラボのセットアップでは、CPE のパブリック IP アドレスが予期せず変更される可能性があります。 この変更により、すべてが同じであっても IKE ネゴシエーションが失敗する可能性があります。
- このシナリオが発生した場合は、次の手順を実行します。
- CPE の暗号化プロファイルのパブリック IP アドレスを更新します。
- [Global Secure Access ]>[デバイス]>[リモート ネットワーク] に移動します。
- 適切なリモート ネットワークを選択し、古いトンネルを削除し、更新されたパブリック IP アドレスを使用して新しいトンネルを再作成します。
- このシナリオが発生した場合は、次の手順を実行します。
Microsoft のパブリック IP アドレスの確認: デバイス リンクを削除したり、新しく作成したりすると、そのリモート ネットワークの [構成の表示] で、そのリンクの別のパブリック IP エンドポイントを取得できます。 この変更により、IKE ネゴシエーションが失敗する可能性があります。 このシナリオが発生した場合は、CPE の暗号化プロファイルでパブリック IP アドレスを更新します。
CPE で BGP 接続設定を確認する: たとえば、リモート ネットワークのデバイス リンクを作成するとします。 Microsoft からは、そのゲートウェイのパブリック IP アドレス (PIP1 など) と BGP アドレス (BGP1 など) が提供されます。 この接続情報は、そのリモート ネットワークの [構成の表示] を選択したときに表示される jSON BLOB の
localConfigurations
で使用可能です。 お使いの CPE で、PIP1 を使って作成されたトンネル インターフェイス経由で送信される BGP1 宛ての静的ルートがあることを確認します。 このルートは、Microsoft で作成した IPsec トンネル経由で公開する BGP ルートを CPE が学習できるようにするために必要です。ファイアウォール規則の確認: ファイアウォールでの IPsec トンネルと BGP 接続に対して、ユーザー データグラム プロトコル (UDP) ポート 500 および 4500 および伝送制御プロトコル (TCP) ポート 179 を許可します。
ポート転送: 状況によっては、インターネット サービス プロバイダー (ISP) ルーターもネットワーク アドレス変換 (NAT) デバイスです。 NAT は、ホーム デバイスのプライベート IP アドレスをパブリック インターネット ルーティング可能なデバイスに変換します。
- 一般に、NAT デバイスは IP アドレスとポートの両方を変更します。 このポートの変更が問題の根本です。
- IPsec トンネルを機能させるには、Global Secure Access でポート 500 が使用されます。 このポートが IKE ネゴシエーションが行われる場所です。
- ISP ルーターがこのポートを別のポートに変更した場合、Global Secure Access はこのトラフィックを識別できず、ネゴシエーションは失敗します。
- その結果、IKE ネゴシエーションのフェーズ 1 が失敗し、トンネルが確立されません。
- このエラーを修復するには、デバイスでポート転送を完了します。これにより、ISP ルーターは、ポートを変更せずにそのまま転送するよう指示されます。
次のステップ
Microsoft Entra Internet Access の使用を開始するための次の手順は、Microsoft トラフィック プロファイルを条件付きアクセス ポリシーの対象にすることです。
プライベート アクセスの詳細については、次の記事を参照してください。