リモート ネットワーク接続について
- [アーティクル]
-
-
グローバル セキュア アクセスでは、エンドユーザー デバイスへのクライアントのインストールとリモート ネットワーク (物理ルーターを使用したブランチの場所など) の構成という 2 つの接続オプションがサポートされています。 リモート ネットワーク接続により、Global Secure Access クライアントをインストールすることなく、エンド ユーザーとゲストによるリモート ネットワークからの接続方法を効率化できます。
この記事では、リモート ネットワーク接続の主要な概念と、それが役立つ一般的なシナリオについて説明します。
リモート ネットワークとは、インターネット接続を必要とするリモートの場所またはネットワークです。 たとえば、多くの組織には、地理的に異なる場所に中央の本社とブランチ オフィスの場所があります。 これらのブランチ オフィスでは、会社のデータとサービスにアクセスする必要があります。 データ センター、本社、リモート ワーカーと通信するための安全な方法が必要です。 リモート ネットワークのセキュリティは、多くの種類の組織にとって不可欠です。
ブランチの場所などのリモート ネットワークは、通常、専用のワイド エリア ネットワーク (WAN) または仮想プライベート ネットワーク (VPN) 接続を介して企業ネットワークに接続されます。 ブランチの場所の従業員は、顧客構内設備 (CPE) を使用してネットワークに接続します。
帯域幅の要件が増加 – インターネット アクセスを必要とするデバイスの数は急増しています。 従来のネットワークはスケーリングが困難です。 Microsoft 365 のようなサービスとしてのソフトウェア (SaaS) アプリケーションの登場により、ワイド エリア ネットワーク (WAN) やマルチプロトコル ラベル スイッチング (MPLS) などの従来のテクノロジでは困難な低遅延およびジッターレス通信への需要が増え続けています。
IT チームはコストがかかる - 通常、ファイアウォールはオンプレミスの物理デバイスに配置されるため、セットアップとメンテナンスを行う IT チームが必要です。 すべてのブランチの場所で IT チームを維持するには、コストがかかります。
進化する脅威 – 悪意のあるアクターは、ネットワーク エッジにあるデバイスを攻撃するための新たな手段を模索しています。 多くの場合、ブランチ オフィスやホーム オフィスのエッジ デバイスは、最も脆弱な攻撃対象となります。
Global Secure Access のリモート ネットワーク接続のしくみ
リモート ネットワークを Global Secure Access に接続するには、オンプレミスの機器と Global Secure Access エンドポイントの間にインターネット プロトコル セキュリティ (IPSec) トンネルを設定します。 指定したトラフィックは、IPSec トンネルを介して最も近い Global Secure Access エンドポイントにルーティングされます。 セキュリティ ポリシーは、Microsoft Entra 管理センターで適用できます。
Global Secure Access のリモート ネットワーク接続では、リモート ネットワークと Global Secure Access サービスの間に安全なソリューションを提供します。 リモート ネットワーク間の安全な接続は提供されません。
リモート ネットワーク間の安全な接続の詳細については、Azure Virtual WAN のドキュメントを参照してください。
リモート ワークと分散したチームの世界では、企業ネットワークのセキュリティの維持がますます困難になっています。 セキュリティ サービス エッジ (SSE) は、お客様がトラフィックを本社にバックホールすることなく、世界中のどこからでも企業リソースにアクセスできるセキュリティの世界を保証します。
オンプレミスの何千ものデバイスにクライアントをインストールしたくない
一般に、SSE は 1 つのデバイスにクライアントをインストールすることによって適用されます。 クライアントは、最も近い SSE エンドポイントへのトンネルを作成し、それを介してすべてのインターネット トラフィックをルーティングします。 SSE ソリューションはトラフィックを検査し、セキュリティ ポリシーを適用します。 ユーザーがモバイルではなく、物理的なブランチの場所に基づいている場合は、そのブランチの場所へのリモート ネットワーク接続によって、すべてのデバイスにクライアントをインストールする労力は不要になります。 ブランチ オフィスのコア ルーターと Global Secure Access エンドポイントの間に IPSec トンネルを作成すると、ブランチの場所全体を接続できます。
組織が所有しているすべてのデバイスにクライアントをインストールすることはできない
クライアントをすべてのデバイスにインストールできない場合があります。 Global Secure Access では、現在、Windows 用のクライアントが提供されています。 しかし、トラフィックをインターネットに送信しているオンプレミスの Linux、メインフレーム、カメラ、プリンター、その他の種類のデバイスはどうでしょうか。 こうしたトラフィックは引き続き監視およびセキュリティ保護する必要があります。 リモート ネットワークを接続する場合は、送信元のデバイスに関係なく、その場所からのすべてのトラフィックに対してポリシーを設定できます。
クライアントがインストールされていないゲストがネットワーク上にある
ネットワーク上のゲスト デバイスにクライアントがインストールされていない場合があります。 これらのデバイスをネットワーク セキュリティ ポリシーに確実に準拠させるには、トラフィックを Global Secure Access エンドポイント経由でルーティングさせる必要があります。 この問題は、リモート ネットワーク接続によって解決されます。 ゲスト デバイスにクライアントをインストールする必要はありません。 既定では、リモート ネットワークからのすべての送信トラフィックにセキュリティ評価が実施されます。
割り当てられる帯域幅の合計は、購入したライセンスの数によって決まります。 各 Microsoft Entra ID P1 ライセンス、Microsoft Entra Internet Access ライセンス、または Microsoft Entra Suite ライセンスは、合計帯域幅に寄与します。 リモート ネットワークの帯域幅は、250 Mbps、500 Mbps、750 Mbps、または 1000 Mbps の増分で IPsec トンネルに割り当てることができます。 この柔軟性により、特定のニーズに応じて異なるリモート ネットワークの場所に帯域幅を割り当てることができます。 最適なパフォーマンスを実現するために、Microsoft では、高可用性を実現するために、場所ごとに少なくとも 2 つの IPsec トンネルを構成することをお勧めします。 次の表は、購入したライセンスの数に基づいて合計帯域幅を示しています。
| ライセンスの数 |
合計帯域幅 (Mbps) |
| 50 – 99 |
500 Mbps |
| 100 – 499 |
1,000 Mbps |
| 500 – 999 |
2,000 Mbps |
| 1,000 – 1,499 |
3,500 Mbps |
| 1,500 – 1,999 |
4,000 Mbps |
| 2,000 – 2,499 |
4,500 Mbps |
| 2,500 – 2,999 |
5,000 Mbps |
| 3,000 – 3,499 |
5,500 Mbps |
| 3,500 – 3,999 |
6,000 Mbps |
| 4,000 – 4,499 |
6,500 Mbps |
| 4,500 – 4,999 |
7,000 Mbps |
| 5,000 – 5,499 |
10,000 Mbps |
| 5,500 – 5,999 |
10,500 Mbps |
| 6,000 – 6,499 |
11,000 Mbps |
| 6,500 – 6,999 |
11,500 Mbps |
| 7,000 – 7,499 |
12,000 Mbps |
| 7,500 – 7,999 |
12,500 Mbps |
| 8,000 – 8,499 |
13,000 Mbps |
| 8,500 – 8,999 |
13,500 Mbps |
| 9,000 – 9,499 |
14,000 Mbps |
| 9,500 – 9,999 |
14,500 Mbps |
| 1万以上 |
35,000 Mbps + |
表の注記
- リモート ネットワーク接続機能を使用するライセンスの最小数は 50 です。
- ライセンスの数は、購入したライセンスの合計数と同じです (Entra ID P1 + Entra Internet Access /Entra Suite)。 ライセンスが 10,000 件を過ぎると、購入した 500 ライセンスごとに 500 Mbps が追加されます (例: 11,000 ライセンス = 36,000 Mbps)。
- 10,000 ライセンス マークを超える組織は、多くの場合、より堅牢なインフラストラクチャを必要とするエンタープライズ規模で動作します。 35,000 Mbps へのジャンプにより、このようなデプロイの要求を満たす十分な容量が確保され、トラフィック量の増加がサポートされ、必要に応じて帯域幅の割り当てを柔軟に拡張できます。
- より多くの帯域幅が必要な場合は、追加の帯域幅を購入できます。
テナント 1:
- 1,000 個の Entra ID P1 ライセンス
- 割り当て済み: 1,000 ライセンス、3,500 Mbps
テナント 2:
- 3,000 個の Entra ID P1 ライセンス
- 3,000 個のインターネット アクセス ライセンス
- 割り当て済み: 6,000 ライセンス、11,000 Mbps
テナント 3:
- 8,000 個の Entra ID P1 ライセンス
- 6,000 個の Entra スイート ライセンス
- 割り当て済み: 14,000 ライセンス、39,000 Mbps
テナント 1:
合計帯域幅: 3,500 Mbps
割り当て:
- サイト A: 2 つの IPsec トンネル:2 x 250 Mbps = 500 Mbps
- サイト B: 2 IPsec トンネル: 2 x 250 Mbps = 500 Mbps
- サイト C: 2 IPsec トンネル: 2 x 500 Mbps = 1,000 Mbps
- サイト D: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
残りの帯域幅: なし
テナント 2:
合計帯域幅: 11,000 Mbps
割り当て:
- サイトA: 2つのIPsecトンネル: 2 x 250 Mbps = 合計500 Mbps
- サイト B: 2 IPsec トンネル: 2 x 500 Mbps = 1,000 Mbps
- サイト C: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
- サイト D: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
- サイト E: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
残りの帯域幅: 4,000 Mbps
テナント 3:
合計帯域幅: 39,000 Mbps
割り当て:
- サイト A:2つのIPsecトンネル:250 Mbps×2 = 500 Mbps
- サイト B: 2 IPsec トンネル: 2 x 500 Mbps = 1,000 Mbps
- サイト C: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
- サイト D: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
- サイト E: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
- サイトF:2つのIPsecトンネル:2 × 1,000 Mbps = 2,000 Mbps
- サイト G: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
残りの帯域幅: 28,500 Mbps