次の方法で共有


Microsoft Graph ネットワーク アクセス API を使用してクラウド、パブリック、プライベート アプリへのアクセスをセキュリティで保護する (プレビュー)

Microsoft Entra Internet AccessとMicrosoft Entra Private Accessは、Microsoft のセキュリティ サービス エッジ ソリューションを構成し、組織が制御を統合し、統合 ID とネットワーク アクセス ポリシーを構成できるようにします。 Microsoft Entra Internet Accessは、ユーザー、デバイス、データをインターネットの脅威から保護しながら、Microsoft 365、SaaS、およびパブリック インターネット アプリへのアクセスをセキュリティで保護します。 一方、Microsoft Entra Private Accessは、オンプレミスまたはクラウドでホストされているプライベート アプリへのアクセスをセキュリティで保護します。

この記事では、Microsoft Entra Internet AccessサービスとMicrosoft Entra Private Access サービスを有効にする Microsoft Graph のネットワーク アクセス API について説明します。 グローバル セキュリティで保護されたアクセスは、これら 2 つのサービスの統合用語です。 詳細については、「グローバル セキュリティで保護されたアクセスとは」を参照してください。

ネットワーク アクセス API の構成要素

ネットワーク アクセス API には、トラフィックとそれに関連するルールを転送またはフィルター処理する方法を構成するフレームワークが用意されています。 次の表は、ネットワーク アクセス API を構成するコア エンティティの一覧です。

Entities 説明
forwardingProfile グローバル セキュリティで保護されたアクセス サービスを介してトラフィックをルーティングまたはバイパスする方法を決定します。 転送プロファイルは、Microsoft 365、インターネット、またはプライベート トラフィックの 1 つのトラフィックの種類に関連付けられています。 その後、1 つの転送プロファイルに複数の転送ポリシーを設定できます。 たとえば、Microsoft 365 転送プロファイルには、Exchange Online、SharePoint Online などのポリシーがあります。
forwardingPolicy グローバル セキュリティで保護されたアクセス サービスを介して特定のトラフィックの種類をルーティングまたはバイパスするための規則を定義します。 各ポリシーは、Microsoft 365、インターネット、またはプライベート トラフィックの 1 つのトラフィックの種類に対して試行されます。 転送ポリシーには、転送ポリシールールのみを含めることができます。
forwardingPolicyLink 転送プロファイルと転送ポリシーの間の関係を表し、接続の現在の状態を維持します。
policyRule ポリシー ルールセットのコア定義を維持します。
remoteNetwork ユーザーとデバイスが接続してクラウド、パブリック、またはプライベート アプリにアクセスする物理的な場所を表します。 各リモート ネットワークはデバイスで構成され、リモート ネットワーク内のデバイスの接続は顧客のオンプレミス機器 (CPE) を介して維持されます。
filteringProfile グループフィルター ポリシー。これにより、Microsoft Entraの条件付きアクセス ポリシーに関連付けられて、ユーザー コンテキスト条件の豊富なセットを活用できます。
filteringPolicy ネットワーク フィルタリング ポリシー、データ損失防止、脅威保護など、管理者によって構成されたさまざまなポリシーをカプセル化します。
filteringPolicLink フィルター プロファイルとフィルター ポリシーの間の関係を表し、接続の現在の状態を維持します。

サービス プロセスへのオンボード

グローバル セキュリティで保護されたアクセス サービスとサポートされているネットワーク アクセス API の使用を開始するには、サービスに明示的にオンボードする必要があります。

操作​​ 説明
テナントのオンボード Microsoft Entra Internet Access サービスとプライベート アクセス サービスにオンボードします。
状態を確認する テナントのオンボード状態を確認します。

トラフィック転送プロファイルとポリシー

次の API を使用すると、管理者は転送プロファイルを管理および構成できます。 既定のプロファイルには、Microsoft 365、プライベート、インターネットの 3 種類があります。 トラフィック転送プロファイルとポリシーを管理するには、次の API を使用します。

サンプル操作 説明
転送プロファイルを一覧表示する テナント用に構成された転送プロファイルを一覧表示します。 $expand クエリ パラメーターを使用して、関連付けられているポリシーを取得することもできます。
forwardingProfile の更新 転送プロファイルを有効または無効にするか、リモート ネットワークなどの関連付けを構成します。
転送ポリシーを一覧表示する テナント用に構成された転送ポリシーを一覧表示します。 $expand クエリ パラメーターを使用して、関連付けられている転送ポリシー 規則を取得することもできます。
転送ポリシーリンクを一覧表示する 転送プロファイルに関連付けられているポリシー リンクを一覧表示します。 $expand クエリ パラメーターを使用して、関連付けられている転送ポリシー 規則を取得することもできます。

リモート ネットワーク

リモート ネットワーク のシナリオでは、ユーザー デバイスまたはプリンターなどのユーザーレス デバイスが、物理的なオフィスの場所で、顧客設置型機器 (CPE) (デバイス リンクとも呼ばれます) を介して接続を確立します。

次の API を使用して、サービスにオンボードしたリモート ネットワークの詳細を管理します。

サンプル操作 説明
リモート ネットワークを作成する
リモート ネットワークのデバイス リンクを作成する
リモート ネットワークの転送プロファイルを作成する
リモート ネットワークとそれに関連付けられているデバイス リンクと転送プロファイルを作成します。
リモート ネットワークの一覧表示
リモート ネットワークのデバイス リンクを一覧表示する
リモート ネットワークの転送プロファイルを一覧表示する
リモート ネットワークとそれに関連付けられているデバイス リンクと転送プロファイルを一覧表示します。

アクセス制御

ネットワーク アクセス API は、テナント間アクセス、条件付きアクセス、転送オプションの 3 種類のアクセス制御設定をorganization内で管理する手段を提供します。 これらの設定により、テナント内のデバイスとユーザーの安全で効率的なネットワーク アクセスが保証されます。

テナント間アクセス設定を構成する

クロステナント アクセス設定には、ネットワーク パケットのタグ付けと、データ流出を防ぐためのテナント制限 (TRv2) ポリシーの適用が含まれます。 クロステナント アクセス設定を管理するには、 crossTenantAccessSettings リソースの種類 とそれに関連付けられている API を使用します。

条件付きアクセス設定

グローバル セキュリティで保護されたアクセス サービスの条件付きアクセス設定には、ソース IP の復元と接続の条件付きアクセスシグナリングを有効または無効にする必要があります。 この構成により、ターゲット リソースがクライアントの元のソース IP アドレスとグローバル セキュリティ アクセス サービスの IP アドレスのどちらを受け取るかが決まります。

条件付きアクセス設定を管理するには、 conditionalAccessSettings リソースの種類 とそれに関連付けられている API を使用します。

compliantNetworkNamedLocation リソースの種類を使用して、ユーザーが特定のテナントの検証済みネットワーク接続モデルから接続し、管理者によって適用されるセキュリティ ポリシーに準拠していることを確認します。

転送オプション

転送オプションを使用すると、管理者は、クライアント解決の宛先 IP を使用して、エッジでの DNS 参照をスキップし、Microsoft 365 トラフィックを Front Door に直接転送する機能を有効または無効にすることができます。 forwardingOptions リソースの種類とそれに関連付けられている API を使用して、転送オプションを管理します。

監査ログ

セキュリティ、コンプライアンス、運用効率を維持するには、環境内のイベントの監視と監査が不可欠です。 グローバル セキュリティで保護されたアクセス イベントは ディレクトリ ログ に記録され、 サインイン ログ は関連付けられた API を使用して取得できます。

トラフィック ログとレポート

ネットワーク トラフィック接続ログを参照して、グローバル セキュリティで保護されたアクセス サービスを介したネットワーク トラフィックの種類の詳細を確認できます。 networkAccessTraffic リソースの種類とそれに関連付けられている API を使用して、詳細なネットワーク トラフィック ログを表示します。

また、グローバル セキュリティで保護されたアクセス サービスを通じて、デバイス、ユーザー、トランザクション、テナント間アクセス要求に関連するトラフィックの集計された数を取得することもできます。 レポート リソースの種類とそれに関連付けられている API を使用して、要約されたネットワーク トラフィックの統計情報を表示します。

強化された Microsoft 365 トラフィック ログ

グローバル セキュリティで保護されたアクセス サービスを使用すると、ネットワーク トラフィック情報を 使用して Microsoft 365 監査ログ を強化できます。 強化されたトラフィック ログを使用すると、Microsoft 365 アプリに関連するネットワーク診断データ、パフォーマンス データ、セキュリティ イベントを確認できます。 次の 3 つの Microsoft 365 ワークロードに関連するトラフィックは、ネットワーク トラフィック情報 (SharePoint、Microsoft Teams、Exchange Online) で強化できます。

ゼロ トラスト

この機能は、組織がテナントを ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。

  • 明確に確認する
  • 最小特権を使用する
  • 侵害を想定する

ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。