Global Secure Access アプリケーションを使用してアプリごとのアクセスを構成する方法

[アーティクル]
02/13/2024

Microsoft Entra Private Access により、組織の内部リソースへの安全なアクセスが提供されます。 Global Secure Access アプリケーションを作成し、セキュリティで保護する内部プライベートリソースを指定します。 Global Secure Access アプリケーションを構成することで、内部リソースへのアプリごとのアクセス権を作成します。 Global Secure Access アプリケーションを使用すると、リソースへのアクセスをアプリごとに、より詳細に管理できます。

この記事では、Global Secure Access を使用してアプリごとのアクセスを構成する方法について説明します。

前提条件

Global Secure Access アプリを構成するには、次のものが必要です。

Microsoft Entra ID の Global Secure Access 管理者とアプリケーション管理者のロール
プレビューには、Microsoft Entra ID P1 ライセンスが必要です。必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

グローバルセキュアアクセスアプリに必要な Microsoft Entra プライベートネットワークコネクタグループを管理するには、以下のものが必要です。

Microsoft Entra ID のアプリケーション管理者ロール
Microsoft Entra ID P1 または P2 ライセンス

既知の制限事項

クイックアクセスアプリと Global Secure Access アプリとの間で、アプリセグメントの重複は避けてください。
IP アドレスによるプライベートアクセス宛先へのトラフィックのトンネリングは、エンドユーザーデバイスのローカルサブネット外の IP 範囲に対してのみサポートされます。
現時点では、プライベートアクセストラフィックは、Global Secure Access クライアントでのみ取得できます。リモートネットワークをプライベートアクセストラフィック転送プロファイルに割り当てることはできません。

手順の概要

アプリごとのアクセスは、新しい Global Secure Access アプリを作成することによって構成します。アプリを作成し、コネクタグループを選択して、ネットワークアクセスセグメントを追加します。これらの設定は、ユーザーとグループを割り当てることができる個々のアプリを構成します。

アプリごとのアクセスを構成するには、アクティブな Microsoft Entra アプリケーションプロキシコネクタを少なくとも 1 つ含むコネクタグループが必要です。このコネクタグループが、この新しいアプリケーションへのトラフィックを処理します。コネクタを使用すると、ネットワークとコネクタごとにアプリを分離できます。

要約すると、全体的なプロセスは次のとおりです。

1 つ以上のアクティブなプライベートネットワークコネクタがあるコネクタグループを作成する。
- コネクタグループが既にある場合は、最新バージョンであることを確認してください。
Global Secure Access アプリを作成する。
アプリにユーザーとグループを割り当てる。
条件付きアクセスポリシーを構成する。
Microsoft Entra Private Access を有効にする。

プライベートネットワークコネクタグループを作成する

グローバルセキュアアクセスアプリを構成するには、アクティブなプライベートネットワークコネクタを少なくとも 1 つ含むコネクタグループが必要です。

コネクタをまだ設定していない場合は、「コネクタの構成」を参照してください。

Note

前にコネクタをインストールしていた場合は、再インストールして最新バージョンにしてください。アップグレードするときは、既存のコネクタをアンインストールし、関連するフォルダーをすべて削除してください。

プライベートアクセスに必要なコネクタの最小バージョンは 1.5.3417.0 です。

Global Secure Access アプリケーションを作成する

新しいアプリを作成するには、名前を指定し、コネクタグループを選択して、アプリケーションセグメントを追加します。アプリセグメントには、サービスをトンネリングするための完全修飾ドメイン名 (FQDN) と IP アドレスが含まれます。 3 つの手順をすべて同時に完了することも、初期セットアップ完了後に追加することもできます。

名前とコネクタグループを選択する

適切なロールを使用して Microsoft Entra 管理センターにサインインします。
[Global Secure Access (プレビュー)]>[アプリケーション]>[エンタープライズアプリケーション] を参照します。
[新しいアプリケーション] を選択します。
アプリの名前を入力します。
ドロップダウンメニューからコネクタグループを選択します。
- 既存のコネクタグループがドロップダウンメニューに表示されます。
ページの下部にある [保存] ボタンを選択して、プライベートリソースを追加せずにアプリを作成します。

アプリケーションセグメントを追加する

アプリケーションセグメントの追加プロセスでは、Global Secure Access アプリのトラフィックに含める FQDN と IP アドレスを定義します。サイトはアプリを作成するときに追加でき、後からさらに追加したり、編集したりできます。

完全修飾ドメイン名 (FQDN)、IP アドレス、および IP アドレス範囲を追加できます。各アプリケーションセグメント内に複数のポートとポート範囲を追加できます。

Microsoft Entra 管理センターにサインインします。
[セキュリティで保護されたグローバルアクセス (プレビュー)]>[アプリケーション]>[エンタープライズアプリケーション] に移動します。
[新しいアプリケーション] を選択します。
[アプリケーションセグメントの追加] を選択します。
開いた [Create application segment] (アプリケーションセグメントの作成) パネルで、[宛先の種類] を選択します。
選択した宛先の種類に適した詳細を入力します。選択内容に応じて、後続のフィールドが変わります。
- IP アドレス:
  - ネットワーク上のデバイスを識別するインターネットプロトコルバージョン 4 (IPv4) アドレス (192.0.2.1 など)。
  - 含めるポートを指定します。
- 完全修飾ドメイン名 (ワイルドカード FQDN を含む):
  - ドメインネームシステム (DNS) 内のコンピューターまたはホストの正確な場所を指定するドメイン名。
  - 含めるポートを指定します。
  - NetBIOS はサポートされていません。たとえば、contoso/app1. の代わりに contoso.local/app1 を使用します
- IP アドレスの範囲 (CIDR):
  - クラスレスドメイン間ルーティングは、IP アドレスの範囲を表す方法であり、IP アドレスの後にサブネットマスク内のネットワークビットの数を示すサフィックスが続きます。
  - たとえば、192.0.2.0/24 は、IP アドレスの最初の 24 ビットがネットワークアドレスを表し、残りの 8 ビットがホストアドレスを表すことを示します。
  - 開始アドレス、ネットワークマスク、ポートを指定します。
- IP アドレスの範囲 (IP から IP):
  - 開始 IP (192.0.2.1 など) から終了 IP (192.0.2.10 など) までの IP アドレスの範囲。
  - IP アドレスの開始、終了、ポートを指定します。

ポートを入力し、[適用] ボタンを選択します。

ポートを複数指定するときはコンマで区切ります。
ハイフンでポート範囲を指定します。
変更を適用すると、値の間のスペースが削除されます。
たとえば、400-500, 80, 443 のようにします。

複数のポートが追加された、アプリセグメントの作成パネルのスクリーンショット。

次の表に、最もよく使用されるポートと、それに関連するネットワークプロトコルを示します。

Port	Protocol
22	Secure Shell (SSH)
80	ハイパーテキスト転送プロトコル (HTTP)
443	ハイパーテキスト転送プロトコルセキュア (HTTPS):
445	サーバーメッセージブロック (SMB) ファイル共有
3389	リモートデスクトッププロトコル (RDP)

終了したら、[保存] ボタンを選択します。

Note

アプリには最大 500 のアプリケーションセグメントを追加できます。

クイックアクセスアプリとプライベートアクセスアプリの間で FQDN、IP アドレス、IP 範囲を重複させないでください。

ユーザーとグループの割り当て

ユーザーやグループをアプリに割り当てて、作成したアプリへのアクセス権を付与する必要があります。詳細については、「アプリケーションにユーザーとグループを割り当てる」を参照してください。

Microsoft Entra 管理センターにサインインします。
[セキュリティで保護されたグローバルアクセス (プレビュー)]>[アプリケーション]>[エンタープライズアプリケーション] に移動します。
アプリケーションを検索して選択します。
サイドメニューから [ユーザーおよびグループ] を選択します。
必要に応じてユーザーとグループを追加します。

Note

ユーザーは、アプリに直接、またはアプリに割り当てられたグループに割り当てる必要があります。入れ子になったグループはサポートされていません。

アプリケーションセグメントを更新する

アプリに含まれる FQDN と IP アドレスはいつでも追加や更新ができます。

Microsoft Entra 管理センターにサインインします。
[セキュリティで保護されたグローバルアクセス (プレビュー)]>[アプリケーション]>[エンタープライズアプリケーション] に移動します。
アプリケーションを検索して選択します。
サイドメニューから [ネットワークアクセスプロパティ] を選択します。
- 新しい FQDN または IP アドレスを追加するには、[アプリケーションセグメントの追加] を選択します。
- 既存のアプリを編集するには、[宛先の種類] 列から選択します。

Global Secure Access クライアントでアクセスを有効または無効にする

Global Secure Access クライアントを使用して、Global Secure Access アプリへのアクセスを有効または無効にすることができます。このオプションは既定で選択されていますが、アプリセグメントに含まれる FQDN と IP アドレスがサービスを介してトンネリングされないように無効にすることができます。

アクセスを有効にするチェックボックスのスクリーンショット。

条件付きアクセスポリシーを割り当てる

アプリごとのアクセスを対象にした条件付きアクセスポリシーは、アプリごとにアプリケーションレベルで構成されます。条件付きアクセスポリシーは、アプリケーションに対して次の 2 つの場所から作成して適用できます。

[Global Secure Access (プレビュー)]>[アプリケーション]>[エンタープライズアプリケーション] に移動します。アプリケーションを選択し、サイドメニューから [条件付きアクセス] を選択します。
[保護]>[条件付きアクセス]>[ポリシー] に移動します。 [新しいポリシーの作成] を選択します。

詳細については、「条件付きアクセスポリシーをプライベートアクセスアプリに適用する」を参照してください。

Microsoft Entra Private Access を有効にする

アプリを構成し、プライベートリソースを追加して、ユーザーをアプリに割り当てたら、プライベートアクセストラフィック転送プロファイルを有効にすることができます。 Global Secure Access アプリを構成する前にプロファイルを有効にできますが、アプリとプロファイルが構成されていない場合、転送するトラフィックはありません。

Microsoft Entra 管理センターにサインインします。
[Global Secure Access (プレビュー)]>[接続]>[Traffic forwarding] (トラフィック転送) を参照します。
[プライベートアクセスプロファイル] のチェックボックスをオンにします。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビューエクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビューオンラインサービス使用条件によって管理されます。オンラインサービスのユニバーサルライセンス条項、Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

Microsoft Entra Private Access の使用を開始する次の手順は、プライベートアクセストラフィック転送プロファイルを有効にすることです。

プライベートアクセスの詳細については、次の記事を参照してください。

Share via

Global Secure Access アプリケーションを使用してアプリごとのアクセスを構成する方法