この一連の記事の概念実証 (PoC) ガイダンスは、Microsoft Entra Internet Access、Microsoft Entra Private Access、および Microsoft トラフィック プロファイルを使用して、Microsoft Global Secure Access を学習、展開、テストするのに役立ちます。
詳細なガイダンスは、Microsoft Global Secure Access 概念実証ガイダンス から始まり、この記事の後、Microsoft Entra Internet Accessの構成へと続きます。
この記事は、Microsoft Entra Private Access をテストし、少なくとも 1 つのプライベート ネットワーク コネクタを構成するのに役立ちます。 詳細なガイダンスについては、「Microsoft Entra Private Accessのコネクタを構成する方法」を参照してください。
Microsoft Entra プライベート ネットワーク コネクタをインストールする
Microsoft Entra 管理センターから Microsoft Entra プライベート ネットワーク コネクタの最新バージョン インストールして構成します。
ユース ケースの構成
Microsoft Entra Private Access のユース ケースを構成してテストします。 次のセクションでは、ユース ケースの例と特定のガイダンスを示します。
VPN を置き換える
VPN の置き換えを使用すると、すべてのユーザーのすべてのプライベート ネットワークの場所宛てのトラフィックに対して Microsoft Entra Private Access を開くことができます。 完全なネットワーク アクセスからゼロ トラスト ネットワーク アクセスにシームレスに移行するには、次の手順に従います。
- グローバル セキュア アクセスのクイック アクセスを構成します。
- プライベート ドメイン ネーム システム (DNS) サフィックスを追加します。
- アプリケーションへのユーザーとグループの割り当てを管理します。
- 条件付きアクセス ポリシーを Microsoft Entra Private Access アプリに適用します。
特定のアプリへのアクセスを提供する
ゼロ トラスト体制に移行することが目的の場合は、すべてのアプリへのアプリごとのアクセスを構成します。 このシナリオは、多くの企業がプライベート ネットワーク上でユーザーがアクセスするすべての IP アドレスと完全修飾ドメイン名 (FQDN) の完全なインベントリを持っていないため、困難な作業になる可能性があります。
アプリごとのアクセスに移行するには、特定の IP アドレス、IP 範囲、FQDN、プロトコル、およびポートへのアクセスを制限するアプリ セグメントを使用して、グローバル セキュリティで保護されたアクセス アプリケーションを構成します。 これらの構成は、手動で作成することも、PowerShell や App Discovery などのツールを使用して作成することもできます。 グローバル セキュア アクセス アプリケーションが、アプリケーションで使用するすべての IP アドレス、ポート、プロトコルをアプリ セグメントに含めるよう確認してください。
手記
クイック アクセスと重複するアプリ セグメントを持つグローバル セキュア アクセス アプリケーションが優先されます。 つまり、グローバル セキュリティで保護されたアクセスでは、クイック アクセス経由でそれらの宛先にトラフィックがルーティングされることはありません。 サービスの中断を回避するには、グローバル セキュリティで保護されたアクセス アプリケーションにユーザーを正しく割り当てます。 ゼロ トラスト体制へのオンボードに時間がかかる必要がある場合は、エンタープライズ アプリケーション全体ではなく、IP 範囲とポートのサブセットを一度に移動することを検討してください。
これらの記事では、詳細なガイダンスを提供します。
- グローバル セキュア アクセス アプリケーションを使用してアプリごとのアクセスを構成
- グローバル セキュア アクセス の アプリケーション検出 (プレビュー)
Active Directory リソースへの Kerberos SSO の使用
Microsoft Entra Private Access では、Kerberos を使用して、オンプレミス リソースにシングル サインオン (SSO) を提供します。 Windows Hello for Business でクラウド Kerberos 信頼を使用して、ユーザーに SSO を許可できます。 このシナリオを有効にするには、Microsoft Entra Private Access でドメイン コントローラーと DNS サフィックスを発行する必要があります。 詳細なガイダンスについては、「Microsoft Entra Private Accessでのシングル サインオン (SSO) に Kerberos を使用する」を参照してください。
PIM を使用して特権アクセスを保護する
Microsoft Entra Privileged Identity Management (PIM) を使用して、特定の重要なリソースへのアクセスを制御できます。 この機能により、プライベート アクセスの上に Just-In-Time (JIT) 特権アクセスを適用するためのセキュリティレイヤーが追加されます。
PIM を使用するように Microsoft Entra Private Access を構成するには、グループを構成して割り当て、特権アクセスをアクティブ化し、コンプライアンス ガイダンスに従います。 詳細については、Privileged Identity Management (PIM) とグローバル セキュア アクセス を使用したセキュリティで保護されたプライベート アプリケーション アクセスのに関するページを参照してください。
PowerShell を使用して Microsoft Entra Private Access を管理する
Microsoft Entra PowerShell モジュールでは、いくつかのグローバル セキュリティで保護されたアクセス コマンドを使用できます。 詳細なガイダンスについては、「Microsoft Entra PowerShell モジュールをインストールする」を参照してください。
オンプレミス のリソースを保護する
多要素認証 (MFA) を有効にしてドメイン コントローラーなどのオンプレミス リソースを保護するには、オンプレミス ユーザー Microsoft Entra Private Access を参照してください。
パートナーとの共存
お客様が3Pソリューションをデプロイするとき、他のソリューションでインターネットにアクセスしながら、環境保護庁(EPA)を使用したい場合があります。 ガイダンスについては、パートナー エコシステムの概要 参照してください。
トラブルシューティング
PoC に問題がある場合は、次の記事がトラブルシューティング、ログ記録、監視に役立ちます。
- グローバル セキュリティで保護されたアクセスに関する FAQ
- Microsoft Entra プライベート ネットワーク コネクタ のインストールに関する問題のトラブルシューティング
- グローバル セキュア アクセス クライアントのトラブルシューティング: 診断
- グローバル セキュア アクセス クライアントのトラブルシューティング: [正常性チェック] タブ
- グローバル セキュア アクセス での分散ファイル システムの問題のトラブルシューティング
- グローバル セキュリティで保護されたアクセス ログと監視 の
- グローバル セキュア アクセスでワークブックを使用する方法
関連コンテンツ
- Microsoft Global Secure Access の概念実証ガイダンスの概要
- Microsoft Entra Internet Access を構成する
- Microsoft Global Secure Access 展開ガイドの概要
- Microsoft Entra Private Access の Microsoft Global Secure Access 展開ガイド
- Microsoft Entra Internet Access の Microsoft Global Secure Access 展開ガイド
- Microsoft Global Secure Access の Microsoftトラフィック向け展開ガイド