次の方法で共有


Microsoft と Cisco でのセキュリティ サービス エッジ (SSE) の共存について理解する

Microsoft と Cisco のセキュリティ サービス エッジ (SSE) ソリューションを統合環境で活用し、両方のプラットフォームの堅牢な機能セットを利用して、セキュア アクセス サービス エッジ (SASE) の導入を強化できます。 これらのプラットフォームの相乗効果により、顧客のセキュリティが強化され、シームレスな接続が提供されます。

このドキュメントには、インターネット アクセスと DNS レイヤーのセキュリティのためにこのようなソリューション、具体的には Microsoft Entra Private Access (プライベート DNS 機能を有効にする) と Cisco Umbrella をサイドバイサイドで展開する手順が記載されています。

構成の概要

Microsoft Entra では、Private Access トラフィック転送プロファイルを有効にし、Internet Access と Microsoft 365 のトラフィック転送プロファイルを無効にします。 また、Private Access のプライベート DNS 機能を有効にして構成します。 Cisco では、Internet Access トラフィックを取り込みます。

Note

クライアントは、Windows 10 または Windows 11 の Microsoft Entra 参加済みデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスにインストールする必要があります。

Microsoft Entra Private Access の構成

Microsoft Entra テナントの Microsoft Entra Private Access トラフィック転送プロファイルを有効にします。 プロファイルの有効化と無効化の詳細については、グローバル セキュア アクセスのトラフィック転送プロファイルに関する記事を参照してください。

エンドユーザー デバイスに Global Secure Access クライアントをインストールして構成します。 クライアントの詳細については、「グローバル セキュア アクセス クライアント」を参照してください。 Windows クライアントをインストールする方法については、「Windows 用グローバル セキュア アクセス クライアント」を参照してください。

Microsoft Entra プライベート ネットワーク コネクタをインストールして構成します。 コネクタをインストールして構成する方法については、コネクタの構成方法に関する記事を参照してください。

Note

プライベート DNS にはコネクタ バージョン v1.5.3829.0 以降が必要です。

プライベート リソースへのクイック アクセスを構成し、プライベート DNS と DNS サフィックスを設定します。 クイック アクセスの構成方法については、クイック アクセスの構成方法に関する記事を参照してください。

Cisco の構成

Cisco の Umbrella DNS をバイパスするには、[Internal Domains] (内部ドメイン) 一覧の [Domain Management] (ドメイン管理) で Microsoft Entra クイック アクセスと Microsoft Entra サービスの FQDN のドメイン サフィックスを追加します。 Cisco の Secure Web Gateway (SWG) をバイパスするには、[External domains] (外部ドメイン) 一覧の [Domain Management] (ドメイン管理) に Microsoft Entra サービスの FQDN と IP を追加します。

  1. Cisco Umbrella ポータルから [Deployments] (デプロイ) > [Configuration] (構成) > [Domain Management] (ドメイン管理) に移動します。
  2. [Internal Domains] (内部ドメイン) セクションで、これらを追加して保存します。
    • *.globalsecureaccess.microsoft.com

      Note

      Cisco Umbrella には暗黙のワイルドカードがあるため、globalsecureaccess.microsoft.com を使用できます。

    • <quickaccessapplicationid>.globalsecureaccess.local

      Note

      quickaccessapplicationid は、構成したクイック アクセス アプリのアプリケーション ID です。

    • クイック アクセス アプリケーションで構成した DNS サフィックス。
  3. [External Domains & IPs] (外部ドメインと IP) セクションで、これらの FQDN と IP を追加して保存します。
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Note

      Cisco Umbrella には暗黙のワイルドカードがあるため、FQDN に globalsecureaccess.microsoft.com を使用できます。

  4. Cisco Umbrella および Cisco SWG クライアント サービスを再起動するか、クライアントがインストールされているマシンを再起動します。

両方のクライアントがインストールされ、サイドバイサイドで実行され、管理ポータルからの構成が完了したら、システム トレイに移動してグローバル セキュア アクセスと Cisco クライアントが有効になっていることを確認します。

グローバル セキュア アクセス クライアントの構成を確認します。

  1. [グローバル セキュア アクセス クライアント] を右クリックし > [詳細な診断] > [転送プロファイル] を選択して、Private Access 規則のみがこのクライアントに適用されていることを確認します。
  2. [詳細な診断] > [正常性チェック] で、確認が失敗していないことを確認します。

トラフィック フローをテストする

Microsoft の SSE 構成: Microsoft Entra Private Access を有効にし、Internet Access と Microsoft 365 のトラフィック転送プロファイルを無効にします。

Cisco の SSE 構成: Internet Access トラフィックが取り込まれます。 Private Access トラフィックは除外されます。

  1. システム トレイにある [グローバル セキュア アクセス クライアント] アイコンを右クリックし、[詳細な診断] を選択します。 [トラフィック] タブを選択し、[収集の開始] を選択します。
  2. SMB ファイル共有など、Entra Private Access で構成したプライベート リソースにアクセスします。 エクスプローラー ウィンドウから [スタート] または [ファイル名を指定して実行] メニューを使用して \\YourFileServer.yourdomain.com を開きます。
  3. システム トレイにある [グローバル セキュア アクセス クライアント] を右クリックし、[詳細な診断] を選択します。 [ネットワーク トラフィック] ダイアログ ボックスで [収集の停止] を選択します。
  4. [ネットワーク トラフィック] ダイアログ ボックスでスクロールして、生成されたトラフィックを確認し、Private Access トラフィックがグローバル セキュア アクセス クライアントによって処理されたことを確認します。
  5. また、Microsoft Entra 管理センターの [グローバル セキュア アクセス] > [監視] > [トラフィック ログ] でグローバル セキュア アクセス トラフィック ログのトラフィックを確認することで、トラフィックが Microsoft Entra によって取り込まれていることを確認することもできます。
  6. ブラウザーから Web サイトにアクセスし、インターネット トラフィックがグローバル セキュア アクセス トラフィック ログから欠落しており、Cisco Umbrella でのみ取り込まれていることを確認します。

次のステップ