Microsoft Entra でのグローバル セキュア アクセスについて説明する

  • 9 分

Microsoft Entra では、Microsoft グローバル セキュア アクセスという見出しの下に新しい製品セットが提供されるようになりました。 グローバル セキュア アクセスは、Microsoft Entra Internet Access と Microsoft Entra Private Access の両方で使用される統一用語です。

Microsoft Entra Internet Access は、ユーザー、デバイス、データをインターネットの脅威から保護しながら、Microsoft サービスやパブリック インターネット アプリを含むサービスとしてのソフトウェア (SaaS) アプリケーションへのアクセスをセキュリティで保護します。

Microsoft Entra Private Access を使用すると、オフィスにいるか、リモートで作業しているかにかかわらず、ユーザーはプライベートな企業リソースに安全にアクセスできます。

Microsoft Entra Internet Access と Microsoft Entra Private Access は 1 つのソリューションとして連携して、任意の場所、デバイス、ID から任意のアプリまたはリソースへのアクセスをセキュリティで保護できるように、ゼロ トラスト ネットワーク、ID、エンドポイントのアクセス制御を集約します。 この種類のソリューションは、Security Service Edge (SSE) と呼ばれる新しいネットワーク セキュリティのカテゴリを表します。

SSE は、次のようなセキュリティの課題に対処するのに役立ちます。

  • 侵害された VPN トンネルを介した横移動のリスクを軽減する必要性。
  • インターネット ベースの資産の周囲に境界を配置する必要性。
  • ブランチ オフィスなどのリモート オフィスの場所のサービスを改善する必要性。

Microsoft の Security Service Edge ソリューションであるグローバル セキュア アクセスは、インターネット ベースのリソースやプライベート クラウドまたはオンプレミス インフラストラクチャで実行されているリソースに対して高度な保護を提供して、セキュリティの課題に対処するのに役立ちます。

このソリューションでは、エンド ユーザーのコンピューティング デバイスでのネットワーク トラフィックを組織が制御できるようにするグローバル セキュア アクセス クライアントを採用します。 組織は、Microsoft Entra Internet Access と Microsoft Entra Private Access を介して特定のトラフィック プロファイルをルーティングできます。 この方法でトラフィックをルーティングすると、アプリやリソースを保護するために、ID、デバイス、場所、アプリケーションにわたって、条件付きアクセス ポリシーやリアルタイムで評価されるリスクとの密接な統合によって、制御を強化できます。

グローバル セキュア アクセスを構成するコンポーネントを示すスクリーンショット。

Microsoft Entra プライベート アクセス

VPN ソリューションは、多くの場合、企業ネットワーク アクセスを制御するための主要な方法として使用されます。 プライベート ネットワーク接続が確立されると、ネットワークのフロント ドアのロックが解除され、それに加えて、ユーザーとデバイスに過剰なアクセス許可が付与されるのが一般的です。 これにより、組織の攻撃面が大幅に増えます。

Microsoft Entra Private Access をデプロイすると、横攻撃の移動をブロックし、過剰なアクセスを減らし、レガシ VPN を置き換えることができます。 このサービスでは、オフィスにいるか、リモートで作業しているかにかかわらず、ユーザーはプライベートな企業リソースに安全にアクセスできます。

概念的に、Private Access のしくみでは、セキュリティで保護したい特定のプライベート リソース セットに対して、それらのプライベート リソースのコンテナーとして機能する新しいエンタープライズ アプリケーションを設定します。 新しいアプリケーションには、Private Access サービスとユーザーがアクセスしたいリソースとの間のブローカーとして機能するネットワーク コネクタがあります。 企業ではプライベート リソースごとにアクセスするための要件が異なっていることが明らかになりました。そのため、Microsoft Entra Private Access には、サービスを通じてアクセスするプライベート リソースを設定できる 2 とおりの方法が用意されています。

  • クイック アクセス - 既に説明したように、Private Access は、セキュリティで保護するプライベート リソースのコンテナーとして機能する新しいエンタープライズ アプリケーションを作成することによって機能します。 クイック アクセスでは、"コンテナー" またはエンタープライズ アプリケーション (クイック アクセス アプリケーションと呼ばれます) に追加するプライベート リソースを決定します。 クイック アクセス アプリケーションに追加するプライベート リソースは、リソースへのアクセスに使用される FQDN、IP アドレス、IP またはアドレス範囲、およびポートによって定義されます。 この情報は、クイック アクセス アプリケーション セグメントと呼ばれます。 クイック アクセス アプリケーションには、複数のアプリケーション セグメントを追加できます。 その後、条件付きアクセス ポリシーをクイック アクセス アプリケーションにリンクできます。

    クイック アクセスのコンポーネントを示す Microsoft Entra Private Access の図。

  • グローバル セキュア アクセス アプリ - アプリ グローバル セキュア アクセス アプリは、アプリごとのアクセスとも呼ばれ、より詳細なアプローチが提供されます。 グローバル セキュア アクセス アプリを使用すると、複数の "コンテナー" すなわちエンタープライズ アプリケーションを作成できます。 これらの新しいエンタープライズ アプリごとに、プライベート リソースのプロパティを定義し、ユーザーとグループを割り当て、特定の条件付きアクセス ポリシーを割り当てます。 たとえば、セキュリティで保護する必要があるプライベート リソースのグループがあり、リソースへのアクセス方法や特定の時間枠に基づいて異なるアクセス ポリシーを設定したい場合があります。

    アプリごとのアクセスとも呼ばれるグローバル セキュア アクセス アプリのコンポーネントを示す、Microsoft Entra Private Access の図。

Microsoft Entra Internet Access

Secure Web Gateway (SWG) は、インターネット トラフィックをフィルター処理し、セキュリティ ポリシーを適用することで、Web ベースの脅威からユーザーを保護するサイバーセキュリティ ソリューションです。

Microsoft Entra Internet Access は、Microsoft サービスやその他のインターネット トラフィックを含めて、サービスとしてのソフトウェア (SaaS) アプリケーション用の ID 中心の Secure Web Gateway (SWG) ソリューションを提供します。 クラス最高のセキュリティ制御とトラフィック ログによる可視性により、インターネットの広範な脅威からユーザー、デバイス、データを保護します。

主な機能には次のようなものがあります。

  • 条件付きアクセス ポリシーを使用して、リソースへのアクセスに対する準拠ネットワーク チェックを実行することで、ユーザー ID またはトークンの盗難からの保護。
    • 準拠ネットワークの適用は、認証プレーンとデータ プレーンで行われます。 認証プレーンの適用は、ユーザー認証時に Microsoft Entra ID によって実行されます。 データ プレーンの適用は、継続的アクセス評価 (CAE) をサポートするサービスで機能します。
    • 継続的アクセス評価 (CAE) は、アプリと Microsoft Entra が常に通信して、ユーザーのアクセスが最新かつ安全であることを保証するセキュリティ機能です。 ユーザーの場所などの変更があった場合、またはセキュリティに関する問題が発生した場合、システムは、ポリシーが常に適用されるようにほぼリアルタイムで迅速にアクセスを調整またはブロックできます。
  • 匿名アクセスを含む、他のテナントまたは個人アカウントへのデータ流出を防ぐためのテナント制限。
  • リモート ワーカーが制御された安全な方法でインターネットに接続できるように、アクセスできるインターネット サイトを制御するためのインターネット アクセス トラフィック転送プロファイル ポリシー。
  • コンテンツ カテゴリとドメイン名に基づいて Web サイトへのアクセスを規制する Web コンテンツ フィルタリング。
  • その他...

グローバル セキュア アクセス ダッシュボード

グローバル セキュア アクセスには、Microsoft Entra Private および Microsoft Entra Internet Access サービスによって取得されたネットワーク トラフィックを視覚化するダッシュボードが含まれています。 このダッシュボードには、デバイス、ユーザー、テナントなど、ネットワーク構成からのデータが複数のウィジェットにまとめられています。 一方、これらのウィジェットは、ネットワーク構成の監視と改善に使用できる情報を提供します。 使用可能なウィジェットには次のものがあります。

  • Global Secure Access スナップショット
  • アラートと通知 (プレビュー)
  • 使用状況プロファイリング (プレビュー)
  • テナント間アクセス
  • Web カテゴリのフィルター処理
  • デバイスの状態

Global Secure Access スナップショット

グローバル セキュア アクセス スナップショット ウィジェットは、サービスを使用しているユーザーとデバイスの数、およびサービスを通じてセキュリティで保護されたアプリケーションの数の概要を提供します。 このウィジェットは既定ですべての種類のトラフィックを表示しますが、フィルターを変更して、インターネット アクセス、プライベート アクセス、または Microsoft トラフィックを表示できます。

Global Secure Access スナップショット ウィジェットのスクリーンショット。

使用状況プロファイリング (プレビュー)

使用率プロファイリング ウィジェットは、選択した期間にわたってインターネット アクセス、プライベート アクセス、または Microsoft 365 の使用パターンをカテゴリ別に表示します。

使用状況プロファイリング ウィジェットのスクリーンショット。

アラートと通知 (プレビュー)

アラートと通知ウィジェットは、ネットワーク内で何が起こっているかを示し、ネットワーク データによって識別される疑わしいアクティビティや傾向を特定するのに役立ちます。

このウィジェットには、次のアラートが表示されます。

  • 異常なリモート ネットワーク: 異常なリモート ネットワークは、1 つ以上のデバイス リンクが切断されています。
  • 外部テナント アクティビティの増加: 外部テナントにアクセスするユーザーの数が増加しています。
  • トークンとデバイスの不整合: 元のトークンが別のデバイスで使用されています。
  • Web コンテンツのブロック: Web サイトへのアクセスがブロックされています。

ダッシュボードのアラート通知ウィジェットのスクリーンショット。

"テナント間アクセス" グローバル セキュア アクセスは、他のテナントにアクセスしているユーザーとデバイスの数を可視化します。 このウィジェットには以下の情報が表示されます。

  • サインイン回数: 過去 24 時間の Microsoft Entra ID 経由の Microsoft サービスへのサインインの数。 このウィジェットは、テナント内のアクティビティに関する情報を提供します。
  • Total distinct tenants (個別テナントの合計): 過去 24 時間に確認された個別のテナント ID の数。
  • Unseen tenants (確認されないテナント): 過去 24 時間に確認されたが、過去 7 日間にはされなかった個別のテナント ID の数。
  • ユーザー: 過去 24 時間の他のテナントへの個別のユーザー サインインの数。
  • デバイス: 過去 24 時間の他のテナントにサインインした個別のデバイスの数。

テナント間アクセス ウィジェットのスクリーンショット。

Web カテゴリのフィルター処理

[Web category filtering] (Web カテゴリのフィルター処理) ウィジェットには、サービスによってブロックされたか、許可された Web コンテンツの上位カテゴリが表示されます。 これらのカテゴリは、どのようなサイトまたはサイトのカテゴリをブロックしたいかを決定するために使用できます。

"デバイスの状態" デバイスの状態ウィジェットには、ユーザーがデプロイしたアクティブなデバイスと非アクティブなデバイスが表示されます。

デバイスの状態ウィジェットのスクリーンショット。