Global Secure Access 経由のユニバーサル条件付きアクセス

  • [アーティクル]

管理者は、Global Secure Access (プレビュー) へのトラフィックの送信に加えて、条件付きアクセス ポリシーを使用してトラフィック プロファイルをセキュリティで保護できます。 多要素認証の要求、準拠デバイスの要求、許容されるサインイン リスクの定義などのコントロールを必要に応じて組み合わせることができます。 これらのコントロールをクラウド アプリケーションだけでなく、ネットワーク トラフィックに適用すると、ユニバーサル条件付きアクセスと呼ばれるものを実現できます。

トラフィック プロファイルに対する条件付きアクセスにより、管理者によるセキュリティ体制の制御が強化されます。 管理者は、ポリシーを使用してゼロ トラスト原則を適用することで、ネットワークへのアクセスを管理できます。 トラフィック プロファイルを使用すると、ポリシーを一貫性を保って適用できます。 たとえば、最新の認証をサポートしていないアプリケーションをトラフィック プロファイルの背後で保護できるようになりました。

この機能により、管理者はアプリケーションやアクションだけでなく、トラフィック プロファイルに基づいて条件付きアクセス ポリシーを一貫性を保って適用できます。 管理者は、これらのポリシーを使用して、Microsoft 365、非公開リソース、インターネット アクセスなどの特定のトラフィック プロファイルを対象にできます。 ユーザーは、構成された条件付きアクセス ポリシーを満たしているときにのみ、これらの構成済みのエンドポイントまたはトラフィック プロファイルにアクセスできます。

前提条件

既知の制限事項

  • Microsoft 365 トラフィックのユニバーサル条件付きアクセスについては、継続的アクセス評価が現在サポートされていません。
  • プライベート アクセス トラフィックへの条件付きアクセス ポリシーの適用は現在サポートされていません。 この動作をモデル化するために、クイック アクセスと Global Secure Access アプリに対してアプリケーション レベルで条件付きアクセス ポリシーを適用できます。 詳細については、「プライベート アクセス アプリに条件付きアクセスを適用する」を参照してください。
  • Microsoft 365 トラフィックは、Global Secure Access クライアントなしでリモート ネットワーク接続を介してアクセスできます。ただし、条件付きアクセス ポリシーは適用されません。 つまり、Global Secure Access の Microsoft 365 トラフィックに対する条件付きアクセス ポリシーは、ユーザーが Global Secure Access クライアントを持っているときにのみ適用されます。

条件付きアクセス ポリシー

条件付きアクセスを使用すると、Microsoft Entra Internet Access と Microsoft Entra Private Access によって取得されたネットワーク トラフィックのアクセス制御とセキュリティ ポリシーを有効にできます。

ユーザー エクスペリエンス

Global Secure Access クライアントがインストールされ、構成され、実行されているマシンにユーザーが初めてサインインすると、サインインするように求められます。 ユーザーがポリシーによって保護されたリソースにアクセスしようとすると、 前の例と同様に、ポリシーが適用され、まだサインインしていない場合はするように求められます。 Global Secure Access クライアントのシステム トレイ アイコンを見ると、サインアウトしているか、実行されていないことを示す赤い円が表示されます。

Global Secure Access クライアントのアカウントを選択するウィンドウを示すスクリーンショット。

ユーザーが Global Secure Access クライアントにサインインすると、サインインされていて、クライアントが実行されていることを示す緑色の円が表示されます。

Global Secure Access Client がサインインされて、実行中であることを示すスクリーンショット。

次のステップ