次の方法で共有

Active Directory ドメイン コントローラー用に Microsoft Entra Private Access を構成する (プレビュー)

このガイドでは、Active Directory ドメイン コントローラー (DC) 用に Microsoft Entra Private Access を構成する方法について説明します。 この機能は、DC で Kerberos 認証を使用するオンプレミス アプリケーションに条件付きアクセス/MFA を適用することで、オンプレミス ユーザーのセキュリティで保護されたアクセスを強化するのに役立ちます。

[前提条件]

Active Directory ドメイン コントローラー用に Microsoft Entra プライベート アクセスを構成するには、次のものが必要です。

  • Microsoft Entra ID の グローバル セキュア アクセス管理者 ロール。
  • この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
  • 少なくとも Windows 10 を実行し、Microsoft Entra 参加済みまたはハイブリッド参加済みデバイスであるクライアント コンピューター。 クライアント マシンは、プライベート リソースと DC に対する視線も必要です (ユーザーは企業ネットワーク内にあり、オンプレミスのリソースにアクセスしています)。 デバイスへの参加とこれらのリソースへのアクセスに使用されるユーザー ID は、Active Directory (AD) で作成され、Microsoft Entra Connect を使用して Microsoft Entra ID に同期されました。
  • 最新の Microsoft Entra プライベート ネットワーク コネクタがインストールされ、DC への通信経路が用意されています。
  • DC 上の Windows ファイアウォールで受信伝送制御プロトコル (TCP) ポート 1337 を開きます。
  • ファイアウォールまたはプロキシで、ワイルドカード ドメイン サフィックスへの送信接続が許可されていることを確認 *.msappproxy.net:443。 Private Access Sensor では、このセキュリティで保護されたチャネルを使用して、Microsoft の Entra クラウド サービスからポリシーを登録およびフェッチします。
  • 保護するプライベート アプリのサービス プリンシパル名 (SPN)。 これらの SPN は、DC にインストールされているプライベート アクセス センサーのポリシーに追加します。

SPN では、大文字と小文字が区別されません完全一致、または <serviceclass>/* など、cifs/* 形式のワイルドカードにする必要があります。

  • DC に最新のプライベート アクセス センサーをインストールします。 1 つのプライベート アクセス センサーを DC にインストールできることを理解します。
  • この機能をテストするには、保護する SPN の Kerberos チケットを発行するサイト内のいくつかの DC にセンサーをインストールします。 センサーは既定で Audit モードでインストールされるため、 enforce モードに変更する必要があります。
  • ベスト プラクティスとして、まずプライベート アプリでこの機能をテストすることをお勧めします。 SPN を使用して、DC 自体に MFA を適用できますが、管理者ロックアウトの問題を回避するために、後の段階でテストすることをお勧めします。
  • 環境内で NT LAN Manager (NTLM) v1/v2 を使用する場合は、NTLM を制限し、ドメインで Kerberos 認証を使用することが必要になる場合があります。

ポリシーの設定: 影響評価を最初に実行せずにこのドメインで NTLM 認証を制限すると、それらのアプリケーションとユーザーが NTLM 認証を引き続き使用するサービスの停止を引き起こす可能性があります。

NTLM の使用を監査・制限するためのガイド | Microsoft Learnセキュリティ ポリシーを使用して NTLM トラフィックを制限する | Microsoft Learn

構成の手順

Active Directory ドメイン コントローラーの Microsoft Entra プライベート アクセスを構成するには、次の手順に従います。

1. Microsoft Entra プライベート ネットワーク コネクタをダウンロードしてインストールする

  1. Microsoft Entra 管理センターにサインインします。
  2. グローバル セキュア アクセス>コネクト>コネクターとセンサー>プライベート ネットワーク コネクターに移動します。
  3. プライベート ネットワーク コネクタの最新バージョンをダウンロードします。
  4. ドメイン コントローラーへの通信経路がある Windows Server にコネクタをインストールします。
  5. インストール後、Microsoft Entra 管理センターでコネクタの状態が アクティブ であることを確認します。

ヒント

コネクタのプライベート IP アドレス ( 10.5.0.7 など) をメモします。 プライベート アクセス センサー ポリシーを構成するときに IP が必要です。

2. グローバルなセキュリティで保護されたアクセス アプリケーションを作成する

新しいエンタープライズ アプリケーションを作成するか、クイック アクセスを使用して、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用してドメイン コントローラーを発行します。 DC を発行すると、グローバル セキュア アクセス クライアントは Kerberos チケットを取得できます。 さらに、クイック アクセスを使用して SPN を構成します。 この例では、クイック アクセスを使用して両方を構成します。

  1. Microsoft Entra 管理センターにサインインします。
  2. グローバル セキュリティで保護されたアクセス>アプリケーション>Quick Access>アプリケーション セグメントに移動し、[クイック アクセス アプリケーション セグメントの追加] を選択します。 ポート 88 を使用し、[TCP] を選択 します
  3. 次に、[ サービス プリンシパル名 ] に移動し、[ サービス プリンシパル名の追加 ] を選択して、セキュリティで保護するリソースの SPN を追加します。 これらの SPN は、ドメイン コントローラーにインストールされているプライベート アクセス センサーに自動的に配信されます。

Microsoft Entra Private Access と Active Directory ドメイン コントローラーの統合を構成するときのクイック アクセス設定を示す図。

3. ユーザーの割り当てと条件付きアクセスの構成

  1. この例のアプリケーション設定ページのクイック アクセスで、[ ユーザーとグループ] を選択します。
  2. ドメイン コントローラーを構成した Microsoft Entra アプリケーションで Active Directory から同期するユーザーを割り当てるには、[ ユーザー/グループの追加] を選択します。
  3. これらのユーザーに多要素認証 (MFA) を必要とする条件付きアクセス ポリシーを作成します。 MFA ポリシーを作成する方法については、「 条件付きアクセス ポリシーの構築」を参照してください。

4. プライベート アクセス プロファイルを有効にする

  1. Microsoft Entra 管理センターにサインインします。
  2. グローバル セキュア アクセス>接続>トラフィック転送>プライベートアクセスプロファイルに移動します。
  3. プライベート アクセス プロファイルを有効にします。

Microsoft Entra 管理センターでアクティブ化されたプライベート アクセス トラフィック転送プロファイルを示すスクリーンショット。

5. グローバル セキュア アクセス クライアントをインストールする

  1. [グローバル セキュア アクセス]>[接続]>[クライアントのダウンロード]>[Windows 10/11] から最新のグローバル セキュア アクセス Windows クライアントをダウンロードします。
  2. Microsoft Entra 参加済みまたはハイブリッド参加済みの Windows 10/11 デバイスにクライアントをインストールします。
  3. クライアント デバイスがプライベート アプリケーションとドメイン コントローラーに対する通信経路を持っていることを確認します。
  4. インストール後、クライアントを一時停止 (無効化) します。

6. ドメイン コントローラーにプライベート アクセス センサーをインストールする

  1. Microsoft Entra 管理センターの[グローバル セキュア アクセス]>[接続]>[コネクタおよびセンサー]>[プライベート アクセス センサー]>[プライベート アクセス センサーのダウンロード] から、DC 用プライベート アクセス センサーをダウンロードします。
  2. プライベート アクセス センサー インストーラーを選択し、手順に従ってセンサーをインストールします。
  3. インストール時に、メッセージが表示されたら Microsoft Entra ID ユーザーでサインインします。
  4. インストール後、Microsoft Entra 管理センターで、Global Secure Access>Connect>Connectors およびセンサー>Private アクセス センサーに移動し、センサーの状態がアクティブであることを確認します。

Microsoft Entra 管理センターでアクティブ化されたプライベート アクセス センサーを示すスクリーンショット。

Von Bedeutung

Private Access Sensor バージョン 2.1.31 にアップグレードするには、以前のセンサーをアンインストールしてから、新しいセンサーをインストールすることをお勧めします。 この新しいセンサーは既定で Audit モードでインストールされ、Microsoft Entra Admin Center から enforce モードに変更する必要があります。

7.プライベート アクセス センサー ポリシー ファイルを構成する

センサーをインストールすると、センサーのインストール パスに 2 つの JSON ポリシー ファイル (cloudpolicylocalpolicy) が作成されます。 cloudpolicy ファイルは変更しないでください。

  1. 前に構成した SPN が cloudpolicy ファイルに存在することを確認します。
  2. localpolicy ファイルで、プライベート コネクタ IP をSourceIPAllowListに追加して保存します。 これらのコネクタ IP からの Kerberos 要求のみが許可されます。他のユーザーはブロックされます。
  3. SPN やコネクタ IP を追加または更新した場合、変更が有効になるまで数分かかる場合があります。 センサーを再起動する必要はありません。

Von Bedeutung

プライベート アクセス センサーは、既定で監査 (レポートのみ) モードでインストールされます。 MFA を適用するには、SensorModePrivateAccessSensorEnforceMode Connect >コネクタおよびセンサー>プライベートアクセスセンサーで > するように設定します。 センサー モードの更新には数分かかる場合があります。 Private Access Sensor バージョン 2.1.31 以降では、このモードは Microsoft Entra Admin Center からのみ更新でき、プライベート アクセス センサーのレジストリ キーは更新できません。

SPNにおける除外および包含

プライベート アクセス センサー ポリシーでサービス プリンシパル名 (SPN) を構成する場合、グローバル セキュリティで保護されたアクセス クライアントがインストールされていないユーザーまたはマシンが環境内にある可能性があります。 プライベート アクセス センサーの展開後にこれらのユーザーまたはマシンが指定した SPN にアクセスできるようにするには、Microsoft Entra Admin Center または localpolicy ファイルの各 SPN の除外または包含を構成できます。 Microsoft Entra 管理センターから構成された除外または包含は、 cloudpolicy ファイルに存在します。

cloudpolicylocalpolicyの両方がアクセス用に評価されます。

特定の SPN の除外を定義しない場合、既定の動作では、グローバル セキュリティで保護されたアクセス クライアントがインストールされているデバイスを除き、その SPN への直接アクセスがすべてブロックされます。

除外

除外により、特定のユーザーまたはマシンは、グローバル なセキュリティで保護されたアクセス クライアントを必要とせずに、構成済みの SPN にアクセスできます。 除外は次の方法で追加できます。

  • クライアント IP アドレス
  • IP アドレス範囲
  • username@domainなどのオンプレミス ユーザー プリンシパル名 (UPN)。 UPN は Private Access Sensor バージョン 2.1.31 以降でサポートされており、大文字と小文字は区別されません。 UPN の最初の部分であるユーザー名は、以前のバージョンのセンサーでサポートされており、 localpolicyfile でのみ追加できます。 ユーザー名の代わりに UPN を使用することを強くお勧めします。 Entra に同期されているオンプレミス ユーザーの UPN は、Microsoft Entra 管理センターから追加できます。 同期されていないオンプレミス ユーザーの UPN は、 localpolicy ファイルにのみ追加できます。

1 つの SPN に対して、複数の IP アドレス、複数の IP 範囲、またはその両方を構成できます。 同様に、SPN の複数のユーザー名を除外できます。

包含

多くのユーザーに対してアクセスを許可する必要がある場合は、代わりに SPN ごとに UPN の包含リストを指定できます。 SPN のインクルード ユーザーを構成する場合、グローバル セキュリティで保護されたアクセス クライアントを持つ必要があるのは、それらのユーザーだけです。 リストに含まれていないユーザーは、クライアントなしで SPN にアクセスできます。

Von Bedeutung

SPN には、UPN の包含リストまたは UPN の除外リストのいずれかを含めることができますが、両方を同時に含めることはできません。

除外と包含の組み合わせ

  • 特定の SPN に対して UPN 包含と IP 除外の両方を構成できます。
  • 特定の SPN の UPN 除外と IP 除外の両方を構成できます。
  • UPN の包含と IP の除外の両方でポリシーの一致が発生した場合、SPN へのアクセスが許可されます。
  • ポリシーが複数のルール (ワイルドカードなど) と一致する場合、SPN が少なくとも 1 つの除外ルールと一致する場合は、SPN へのアクセスが許可されます。

ヒント

除外と包含を使用して、グローバル セキュア アクセス クライアントを持たないユーザーとデバイスのアクセスを微調整し、セキュリティ制御を維持しながらビジネス継続性を確保します。

Microsoft Entra 管理センターから SPN ユーザー名の除外と包含を構成する方法の例:

SPN ユーザー名の除外と包含のファイルを構成する方法を示す localpolicy ファイルのスクリーンショット。

非常時モード

  • プライベート アクセス センサーでは、緊急時のすべてのトラフィックを許可するブレーク グラス モードがサポートされています。
  • Microsoft Entra 管理センターからブレーク グラス モードを有効にするには:
    1. グローバル セキュア アクセス>接続>コネクタとセンサーに移動します。
    2. [ プライベート アクセス センサー ] タブで、[プライベート アクセス センサー] の一覧から [名前] を選択します。
    3. [設定] で、[ブレーク グラス モードを有効にする] を選択します。 変更が反映されるまでに数分かかる場合があります。
  • また、TmpBreakglassHKLM\SOFTWARE\Microsoft\PrivateAccessSensor (DWORD) レジストリ キーを、プライベート アクセス センサーがインストールされているドメイン コントローラーの0から1に変更することで、ブレーク グラス モードを有効にすることもできます。 レジストリ キーに更新プログラムを適用するには、センサーを再起動する必要があります。

8. ドメイン コントローラーの Microsoft Entra プライベート アクセスをテストする

  1. グローバル セキュア アクセス クライアントとプライベート アクセス センサーの両方をオフのままにします。
  2. クイック アクセス アプリで構成された DC FQDN/IP が、グローバル セキュア アクセス クライアント ポリシーに存在することを確認します。 グローバルセキュアアクセスシステムトレイアイコンで確認: 高度な診断>Traffic Forwarding Profile
  3. (省略可能)クライアント コンピューターから nltest を実行して、ドメイン コントローラーを一覧表示します。
  4. klist purgeを実行して、すべての Kerberos チケットをクリアします。
  5. ターゲット リソースへのアクセスを確認するには、 klist tgt get cifs/SPN を使用するか、サーバー メッセージ ブロック (SMB) 共有にアクセスします。
  6. プライベート アクセス センサー サービスを有効にします (グローバル セキュリティで保護されたアクセス クライアントをオフのままにします)。
  7. SMB ファイル共有へのアクセスを試みます。センサーが要求をブロックする必要があります。
  8. グローバル セキュリティで保護されたアクセス クライアントを有効にして、SPN へのアクセスをもう一度試みます。 Kerberos チケットを取得する必要があり、条件付きアクセス ポリシーが適用されている場合は MFA が必要になることがあります。
  9. Kerberos トラフィックがグローバル セキュア アクセス経由でトンネリングされていることを確認するには、グローバル セキュリティで保護されたアクセス クライアントで高度な診断を使用します。

9. 調査とトラブルシューティング

  • アプリケーション ログとサービス ログ>>> のイベント ビューアーを使用して、プライベート アクセス センサーのログを確認します。
  • Private Access Sensor ログを収集するには、センサーのインストール パスから PrivateAccessSensorLogsCollector を実行し、生成された zip ファイルを Microsoft サポートと共有します。
  • グローバル セキュア アクセス クライアント ログの場合:
    1. グローバル セキュア アクセス トレイ アイコンを右クリックします。
    2. 高度な診断>高度なログ収集>高度なログを収集する を選択します。
    3. 問題を再現し、ログ収集を停止し、Microsoft サポートにログを送信します。

ヒント

問題が発生した場合は、スクリーンショット、コマンド出力、収集されたログを Microsoft サポートに提供して、さらに支援を受けてください。

関連コンテンツ

  • Last updated on