Global Secure Access 経由のユニバーサル条件付きアクセス
管理者は、Global Secure Access (プレビュー) へのトラフィックの送信に加えて、条件付きアクセス ポリシーを使用してトラフィック プロファイルをセキュリティで保護できます。 多要素認証の要求、準拠デバイスの要求、許容されるサインイン リスクの定義などのコントロールを必要に応じて組み合わせることができます。 これらのコントロールをクラウド アプリケーションだけでなく、ネットワーク トラフィックに適用すると、ユニバーサル条件付きアクセスと呼ばれるものを実現できます。
トラフィック プロファイルに対する条件付きアクセスにより、管理者によるセキュリティ体制の制御が強化されます。 管理者は、ポリシーを使用してゼロ トラスト原則を適用することで、ネットワークへのアクセスを管理できます。 トラフィック プロファイルを使用すると、ポリシーを一貫性を保って適用できます。 たとえば、最新の認証をサポートしていないアプリケーションをトラフィック プロファイルの背後で保護できるようになりました。
この機能により、管理者はアプリケーションやアクションだけでなく、トラフィック プロファイルに基づいて条件付きアクセス ポリシーを一貫性を保って適用できます。 管理者は、これらのポリシーを使用して、Microsoft 365、非公開リソース、インターネット アクセスなどの特定のトラフィック プロファイルを対象にできます。 ユーザーは、構成された条件付きアクセス ポリシーを満たしているときにのみ、これらの構成済みのエンドポイントまたはトラフィック プロファイルにアクセスできます。
前提条件
- Global Secure Access プレビュー機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
- グローバル セキュア アクセス プレビュー機能を管理するためのグローバル セキュア アクセス管理者ロール。
- 条件付きアクセス ポリシーを作成して操作する条件付きアクセス管理者。
- プレビューには、Microsoft Entra ID P1 ライセンスが必要です。 必要な場合は、こちらでライセンスを購入するか試用版ライセンスを取得できます。
- Microsoft 365 トラフィック転送プロファイルのご使用には、Microsoft 365 E3 ライセンスをお勧めします。
既知の制限事項
- Microsoft 365 トラフィックのユニバーサル条件付きアクセスについては、継続的アクセス評価が現在サポートされていません。
- プライベート アクセス トラフィックへの条件付きアクセス ポリシーの適用は現在サポートされていません。 この動作をモデル化するために、クイック アクセスと Global Secure Access アプリに対してアプリケーション レベルで条件付きアクセス ポリシーを適用できます。 詳細については、「プライベート アクセス アプリに条件付きアクセスを適用する」を参照してください。
- Microsoft 365 トラフィックは、Global Secure Access クライアントなしでリモート ネットワーク接続を介してアクセスできます。ただし、条件付きアクセス ポリシーは適用されません。 つまり、Global Secure Access の Microsoft 365 トラフィックに対する条件付きアクセス ポリシーは、ユーザーが Global Secure Access クライアントを持っているときにのみ適用されます。
条件付きアクセス ポリシー
条件付きアクセスを使用すると、Microsoft Entra Internet Access と Microsoft Entra Private Access によって取得されたネットワーク トラフィックのアクセス制御とセキュリティ ポリシーを有効にできます。
- すべての Microsoft 365 トラフィックを対象にするポリシーを作成します。
- 条件付きアクセス ポリシーをクイック アクセスなどのプライベート アクセス アプリに適用します。
- 条件付きアクセスで Global Secure Access のシグナル通知を有効にして、ソース IP アドレスが適切なログとレポートに表示されるようにします。
ユーザー エクスペリエンス
Global Secure Access クライアントがインストールされ、構成され、実行されているマシンにユーザーが初めてサインインすると、サインインするように求められます。 ユーザーがポリシーによって保護されたリソースにアクセスしようとすると、 前の例と同様に、ポリシーが適用され、まだサインインしていない場合はするように求められます。 Global Secure Access クライアントのシステム トレイ アイコンを見ると、サインアウトしているか、実行されていないことを示す赤い円が表示されます。
ユーザーが Global Secure Access クライアントにサインインすると、サインインされていて、クライアントが実行されていることを示す緑色の円が表示されます。