明示的な転送プロキシは、グローバル セキュア アクセス クライアントのインストールが困難または不可能なシナリオで役立つトラフィック取得メカニズムです。 明示的な転送プロキシは、ユーザーがブラウザーを使用して次の場所からリソースにアクセスする場合に、インターネット トラフィックを保護するのに役立ちます。
- マルチセッション仮想デスクトップ インフラストラクチャ (VDI)
- キオスク
- Linux デスクトップ上のブラウザー
- 軽く管理されたデバイス
- Microsoft Edge と Intune アプリ ポリシーを使用した独自のデバイス
明示的な転送プロキシは、プロキシ自動構成 (PAC) ファイルを使用して、Microsoft Entra Internet Access接続用にブラウザーを構成します。 HTTP CONNECT プロトコルを使用して、ユーザーと Microsoft Entra Internet Access サービス間のネットワーク通信を容易にします。 Microsoft Entra IDとMicrosoft Entra 条件付きアクセスを使用して、インターネット リソースへのユーザー アクセスを認証および承認します。
Important
明示的な転送プロキシ機能は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
トラフィック フロー
| Step | 詳細情報 |
|---|---|
| 1 | トランスポート層セキュリティ (TLS) 検査に使用される明示的な転送プロキシ PAC 構成と中間証明書がデバイスに配信されます。 |
| 2 | ユーザーがインターネット リソースへのアクセスを試みます。 明示的な転送プロキシは、ユーザーをMicrosoft Entra IDにリダイレクトします。 |
| 3 | ユーザーは、明示的に、またはシングル サインオンを使用してMicrosoft Entra IDにサインインします。 Microsoft Entra IDは、条件付きアクセス ポリシーをチェックしてユーザー アクセスを承認します。 |
| 4 | ユーザーは、Microsoft Entra ID承認コードを使用して明示的な転送プロキシにリダイレクトされます。 |
| 5 | Microsoft Entra Internet Accessセキュリティ ポリシーが適用され、アクセスが決定されます。 アクセスが許可されている場合、ユーザーはインターネット リソースを取得できます。 |
PAC ファイルホスティング
ブラウザーは、起動時にプロキシ構成を取得する必要があります。 PAC ファイル ホスティングには、主に次の 2 つの方法があります。
- PAC ファイルの明示的な転送プロキシ ホスティング。 Microsoft Entra Internet Accessがホストするテナント固有のPACファイルURLを使用してブラウザーを構成できます。 これらの PAC ファイルには、明示的な転送プロキシに推奨される構成が含まれています。
- PAC ファイルの自己ホスト。 PAC ファイルは、管理する Web サーバーでホストできます。 PAC ファイルの内容をカスタマイズする必要がある場合は、この方法を選択します。
スマート セッション管理の機能では、PAC ファイルの明示的な転送プロキシ ホスティングを使用する必要があります。
セッション管理
最新の Web アプリケーションは複雑です。 ユーザー承認のMicrosoft Entra IDへの対話型リダイレクトは、すべてのユース ケースでは可能ではありません。 明示的な転送プロキシでは、最適なユーザー エクスペリエンスを維持しながら、ユーザー セッション アフィニティのバランスを取るためにいくつかのメカニズムが使用されます。
明示的な転送プロキシ セッション管理の基本要素は、ソース IP アフィニティです。 スマート セッション管理とヘッダー ベースのセッション アフィニティは、その上に構築されています。
スマート セッション管理は、明示的転送プロキシを有効にすると、既定で有効になります。 この機能は、明示的な転送プロキシ PAC ファイル ホスティングに依存します。 PAC ファイルが要求されるたびにランダムなセッション識別子が導入され、組織内の各ユーザーが常に一意のプロキシ アドレスを持っていることを確認します。 この一意のプロキシ アドレスを使用すると、明示的な転送プロキシは、最初のユーザー承認後にセッションを維持するために、ソース IP と共にその一意の識別子を使用できます。 明示的転送プロキシは、ユーザー固有のセッション識別子を検出すると、ユーザー固有のセキュリティ プロファイルを適用します。
必要に応じて、ヘッダーベースのセッション アフィニティを有効にし、すべてのトラフィックで特定の HTTP ヘッダー内のユーザーのプライベート IP アドレスを明示的転送プロキシ サービス ドメインに送信するようにエグレス プロキシを構成することもできます。 明示的な転送プロキシがその HTTP ヘッダーを検出すると、ユーザー固有のセキュリティ プロファイルが適用されます。
スマート セッション管理とヘッダー ベースのセッション アフィニティの両方が無効になっている場合、明示的転送プロキシはソース IP アフィニティにフォールバックします。 ユーザーが最初に認証されると、明示的な転送プロキシに表示されるエグレス IP アドレスは、そのユーザー セッションに関連してキャッシュされます。
複数のユーザーまたはデバイスが特定の IP アドレスを使用している可能性があるため、会社のネットワークがネットワーク チャネルとして明示的転送プロキシを使用してのみリソースにアクセスできるように、Microsoft Entra 条件付きアクセス ポリシーを構成する必要があります。 明示的な転送プロキシが、ユーザーのソース IP アドレスを超えるセッション管理メカニズムを確立できない場合は、ベースライン セキュリティ プロファイルのみが適用されます。
Important
明示的な転送プロキシ セッション管理は、セッション管理アンカーの 1 つとして IP アフィニティに依存します。 明示的転送プロキシの使用を信頼するネットワークに制限する条件付きアクセス ポリシーを構成することをお勧めします。 詳細については、「Explicit Forward Proxy (プレビュー) セッション管理」および「明示的転送プロキシ (プレビュー) のMicrosoft Entra 条件付きアクセス ポリシーを構成する」を参照してください。
スマート セッション管理と HTTP ヘッダーを同時に有効にすることができます。 明示的な転送プロキシが HTTP ヘッダーとランダム セッション識別子の両方を検出した場合、セッション管理にはランダム セッション識別子が優先されます。
| 明示的な転送プロキシ セッション管理機能が有効になっている | アフィニティメソッド | 適用されるセキュリティ プロファイル |
|---|---|---|
| None | 発信元 IP | ベースラインのみ |
| スマート セッション管理 | ソース IP + セッション ID | ユーザー固有のサポート |
| HTTP ヘッダー | HTTP ヘッダーからのソース IP + プライベート IP | ユーザー固有のサポート |
| スマート セッション管理と HTTP ヘッダー | HTTP ヘッダーと同じです。 ソース IP + セッション ID が優先されます。 | ユーザー固有のサポート |
Note
スマート セッション管理と HTTP ヘッダーベースのセッション アフィニティが有効になっている場合でも、特定の要求に両方の値がない場合、明示的転送プロキシはソース IP ベースのアフィニティとベースライン ポリシーに依存するように戻ります。
セッションの有効期間とアクセスの失効
明示的な転送プロキシを使用するには、ユーザーがMicrosoft Entra IDで認証する必要があります。 スマート セッション管理、ソース IP、HTTP ヘッダーなどのセッション管理成果物は、Microsoft Entra ID アクセス トークンの有効期間に依存します。 このトークンの既定の有効期間は、60 分から 90 分の間にランダムに設定されます。
セッションの有効期間中、明示的な転送プロキシは、シングル サインオンを使用して一定の間隔でユーザーの再検証を試みます。 検証が成功した場合、明示的な転送プロキシは、新しいアクセス トークンの有効期間までにユーザーのキャッシュ エントリを拡張します。
明示的な転送プロキシでは、継続的アクセス評価がサポートされています。 継続的アクセス評価では、ユーザーの明示的転送プロキシ セッションは、Microsoft Entra IDによって検出された ID 変更イベントで終了し、明示的転送プロキシにシグナルとして送信されます。 これらのイベントには、パスワードのリセット/変更、多要素認証方法のリセット、セッション失効、ユーザー リスクの変更が含まれます。 その場合、新しい Web リソースへの明示的なナビゲーションによって認証フローが 2 分から 5 分でトリガーされ、ユーザーはMicrosoft Entra IDにサインインする必要があります。
制限事項
- 明示的な転送プロキシが処理するすべてのトラフィックは TLS で終了します。 TLS 終了をバイパスするには、独自の PAC ファイルをホストし、PAC ファイル内の特定の宛先を除外する必要があります。
- Microsoft Entra IDトラフィックは、接続を許可する前に、明示的な転送プロキシをバイパスしてユーザーを承認する必要があります。
- 明示的な転送プロキシでは、Microsoft 365 トラフィックの取得はサポートされていません。