ユニバーサル継続的アクセス評価 (プレビュー)
- [アーティクル]
-
-
ユニバーサル継続的アクセス評価 (CAE) は、グローバル セキュア アクセス (GSA) のプラットフォーム機能であり、Microsoft Entra ID と連携して、新しいアプリケーション リソースへの接続が確立されるたびに GSA エッジへのアクセスが検証されるようにします。 ユニバーサル CAE は、GSA アクセス トークンを盗難やリプレイから保護します。 ユニバーサル CAE は、Entra ID が ID への変更を検出するたびに、準リアルタイムでネットワーク アクセスを取り消し、再検証します。 従来の Entra ID CAE では、各ワークロードに特別なライブラリを採用する必要があり、ファースト パーティのアプリケーションのみに限定されています。 ユニバーサル CAE は、アプリケーションが CAE に対応する必要なしに、CAE の利点をグローバル セキュア アクセスでアクセスされるあらゆるアプリケーションに拡張します。
Entra ID が ID の変更を検出し、準リアルタイムで CAE をトリガーする場合に、ユニバーサル CAE が組織にどのように利益をもたらすかの例をいくつか示します。
- プライベート アクセス - リモート デスクトップ経由のユーザーのセッション、ファイル サーバーへのアクセス、プライベート アクセスによって保護されているすべてのプライベート リソースへのアクセスが中断され、退職した従業員または悪意のある内部の行動によるデータ流出のリスクが軽減されます。
- インターネット アクセス - Microsoft 以外のファイル共有サービスや会社のコラボレーション ツールなど、会社のデータを保持する可能性のあるサービスを含むすべてのインターネット リソースへのユーザーのアクセスが中断され、退職した従業員によるデータ流出のリスクが軽減されます。
- Microsoft サービス - 多くの Microsoft サービスは既に CAE をネイティブに使用していますが、一部のアプリケーションは使用していません。 ユニバーサル CAE では、アプリケーションが CAE に対応しているかどうかに関係なく、Microsoft アプリケーションへのユーザーのアクセスが中断されます。
- GSA を使用してサービスへの接続を許可する前に、ユーザーが特定のネットワーク上に存在することを要求できます。これにより、最初のトンネル認証後でも別のネットワークへの移動を防ぐことができます。 このシナリオでは、ユーザーがネットワークを変更すると、GSA 経由のネットワーク アクセスが再認証され、場所ベースの条件付きアクセス ポリシーが再評価されます。
- 条件付きアクセスで構成されたオプションの厳格な強制モードは、GSA アクセス トークンのトークン盗難/リプレイから保護します。 認証時に使用された元の IP アドレスとは異なる IP アドレスからトークンのリプレイが試みられた場合、ネットワーク アクセスはブロックされます。
グローバル セキュア アクセスは、サービス トンネル (Microsoft トラフィック、インターネット アクセス、プライベート アクセス トラフィック転送プロファイル) に対して認証するために Entra ID アクセス トークンに依存します。 アクセス トークンは 60 から 90 分の間有効です。 アクセス トークンの有効期限が切れる前に、GSA クライアントは Entra ID 更新トークンを使用して新しいアクセス トークンを取得します。
OAuth2 仕様に従って、アクセス トークンは有効期限が切れるまで有効です。 たとえば、ユーザー アカウントを無効にすると、Entra ID は更新トークンをすぐに無効にしますが、GSA アクセス トークンの有効期限が切れるまでに最大 90 分かかります。
ユニバーサル CAE では、ユーザー ID の変更が準リアルタイムでグローバル セキュア アクセスに伝達されます。 アクセス トークンがまだ有効であっても、グローバル セキュア アクセスは特別な要求チャレンジをエンド ユーザーに送り返し、ユーザーに再認証を要求します。 ユーザーが Entra ID 認証チャレンジを完了できない場合、GSA 経由のネットワーク アクセスはブロックされます。 ユニバーサル CAE は、Entra ID アカウントの状態が変更されてからユーザーに再認証を要求するまでの期間を短縮し、退職した従業員によるデータ流出のリスクを軽減します。
ユニバーサル CAE 再認証をトリガーする Microsoft Entra ID シグナル
グローバル セキュア アクセスは、次のイベントに対して Entra ID から準リアルタイムでシグナルを受信できます。
- ユーザーアカウントが削除または無効化された
- ユーザーのパスワードが変更またはリセットされた
- ユーザーに対して多要素認証が有効化された
- 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
- 高いユーザー リスクが Microsoft Entra ID 保護によって検出された
セキュリティ イベントを受信すると、グローバル セキュア アクセス クライアントはユーザーに再認証を求めるダイアログを表示します。 再認証が成功すると、グローバル セキュア アクセスによって保護されたリソースへのユーザーのネットワーク接続が復元されます。
厳格な強制モードでは、リソース プロバイダーによって検出された IP アドレスが条件付きアクセス ポリシーで許可されていない場合、ユニバーサル CAE は直ちにアクセスを停止します。 このオプションは、CAE の場所の適用における最も高度なセキュリティ モダリティであり、管理者はネットワーク環境での認証とアクセス要求のルーティングについて理解している必要があります。 厳密な適用が有効になっている場合、グローバル セキュア アクセス サービスへのアクセスは、ユーザーが組織によって承認された IP アドレス範囲から GSA サービスに接続している場合にのみ可能です。
Entra ID 条件付きアクセスを使用して、テナントの CAE 動作を制御できます。 既定では、CAE は、それをサポートするすべてのアプリケーションに対してオンになっています。 Entra ID テナントで CAE を無効にすることができます。これにより、グローバル セキュア アクセスを含むすべてのサービスの CAE が無効になります。 テナントで CAE を無効にするには、条件付きアクセスに関するドキュメントの手順に従います
注意
オプションの厳格な強制モードが条件付きアクセスで有効になっていて、GSA ワークロード ID に適用されていない限り、ユニバーサル CAE は便宜的です。 既定では、サポートされているグローバル セキュア アクセス クライアントは Entra ID から CAE アクセス トークンを取得しようとします。 クライアントのバージョンがサポートされていないなど、Entra ID から CAE トークンを取得できない場合は、通常のアクセス トークンが発行されます。 フォールバック動作では、ユニバーサル CAE を無効にする必要はありません。
この機能には、1 つ以上の既知の制限があります。 この機能の既知の問題と制限事項の詳細については、「グローバル セキュア アクセスの既知の制限事項」を参照してください。