次の方法で共有


Microsoft Global Secure Access の概念実証ガイダンス: Microsoft Entra Private Access を構成する

この一連の記事の概念実証 (PoC) ガイダンスは、Microsoft Entra Internet Access、Microsoft Entra Private Access、および Microsoft トラフィック プロファイルを使用して、Microsoft Global Secure Access を学習、展開、テストするのに役立ちます。

詳細なガイダンスは、Microsoft Global Secure Access 概念実証ガイダンス から始まり、この記事の後、Microsoft Entra Internet Accessの構成へと続きます。

この記事は、Microsoft Entra Private Access をテストし、少なくとも 1 つのプライベート ネットワーク コネクタを構成するのに役立ちます。 詳細なガイダンスについては、「Microsoft Entra Private Accessのコネクタを構成する方法」を参照してください。

Microsoft Entra プライベート ネットワーク コネクタをインストールする

Microsoft Entra 管理センターから Microsoft Entra プライベート ネットワーク コネクタの最新バージョン インストールして構成します。

ユース ケースの構成

Microsoft Entra Private Access のユース ケースを構成してテストします。 次のセクションでは、ユース ケースの例と特定のガイダンスを示します。

VPN を置き換える

VPN の置き換えを使用すると、すべてのユーザーのすべてのプライベート ネットワークの場所宛てのトラフィックに対して Microsoft Entra Private Access を開くことができます。 完全なネットワーク アクセスからゼロ トラスト ネットワーク アクセスにシームレスに移行するには、次の手順に従います。

  1. グローバル セキュア アクセスのクイック アクセスを構成します。
  2. プライベート ドメイン ネーム システム (DNS) サフィックスを追加します。
  3. アプリケーションへのユーザーとグループの割り当てを管理します。
  4. 条件付きアクセス ポリシーを Microsoft Entra Private Access アプリに適用します。

特定のアプリへのアクセスを提供する

ゼロ トラスト体制に移行することが目的の場合は、すべてのアプリへのアプリごとのアクセスを構成します。 このシナリオは、多くの企業がプライベート ネットワーク上でユーザーがアクセスするすべての IP アドレスと完全修飾ドメイン名 (FQDN) の完全なインベントリを持っていないため、困難な作業になる可能性があります。

アプリごとのアクセスに移行するには、特定の IP アドレス、IP 範囲、FQDN、プロトコル、およびポートへのアクセスを制限するアプリ セグメントを使用して、グローバル セキュリティで保護されたアクセス アプリケーションを構成します。 これらの構成は、手動で作成することも、PowerShell や App Discovery などのツールを使用して作成することもできます。 グローバル セキュア アクセス アプリケーションが、アプリケーションで使用するすべての IP アドレス、ポート、プロトコルをアプリ セグメントに含めるよう確認してください。

手記

クイック アクセスと重複するアプリ セグメントを持つグローバル セキュア アクセス アプリケーションが優先されます。 つまり、グローバル セキュリティで保護されたアクセスでは、クイック アクセス経由でそれらの宛先にトラフィックがルーティングされることはありません。 サービスの中断を回避するには、グローバル セキュリティで保護されたアクセス アプリケーションにユーザーを正しく割り当てます。 ゼロ トラスト体制へのオンボードに時間がかかる必要がある場合は、エンタープライズ アプリケーション全体ではなく、IP 範囲とポートのサブセットを一度に移動することを検討してください。

これらの記事では、詳細なガイダンスを提供します。

Active Directory リソースへの Kerberos SSO の使用

Microsoft Entra Private Access では、Kerberos を使用して、オンプレミス リソースにシングル サインオン (SSO) を提供します。 Windows Hello for Business でクラウド Kerberos 信頼を使用して、ユーザーに SSO を許可できます。 このシナリオを有効にするには、Microsoft Entra Private Access でドメイン コントローラーと DNS サフィックスを発行する必要があります。 詳細なガイダンスについては、「Microsoft Entra Private Accessでのシングル サインオン (SSO) に Kerberos を使用する」を参照してください。

PIM を使用して特権アクセスを保護する

Microsoft Entra Privileged Identity Management (PIM) を使用して、特定の重要なリソースへのアクセスを制御できます。 この機能により、プライベート アクセスの上に Just-In-Time (JIT) 特権アクセスを適用するためのセキュリティレイヤーが追加されます。

PIM を使用するように Microsoft Entra Private Access を構成するには、グループを構成して割り当て、特権アクセスをアクティブ化し、コンプライアンス ガイダンスに従います。 詳細については、Privileged Identity Management (PIM) とグローバル セキュア アクセス を使用したセキュリティで保護されたプライベート アプリケーション アクセスのに関するページを参照してください。

PowerShell を使用して Microsoft Entra Private Access を管理する

Microsoft Entra PowerShell モジュールでは、いくつかのグローバル セキュリティで保護されたアクセス コマンドを使用できます。 詳細なガイダンスについては、「Microsoft Entra PowerShell モジュールをインストールする」を参照してください。

オンプレミス のリソースを保護する

多要素認証 (MFA) を有効にしてドメイン コントローラーなどのオンプレミス リソースを保護するには、オンプレミス ユーザー Microsoft Entra Private Access を参照してください。

パートナーとの共存

お客様が3Pソリューションをデプロイするとき、他のソリューションでインターネットにアクセスしながら、環境保護庁(EPA)を使用したい場合があります。 ガイダンスについては、パートナー エコシステムの概要 参照してください。

トラブルシューティング

PoC に問題がある場合は、次の記事がトラブルシューティング、ログ記録、監視に役立ちます。