次の方法で共有


グローバル セキュア アクセス Web コンテンツ フィルタリングを構成する方法

Web コンテンツのフィルター処理を使用すると、Web サイトの分類に基づいて、組織の詳細なインターネット アクセス制御を実装できます。

Microsoft Entra Internet Access の最初の Secure Web Gateway (SWG) 機能には、ドメイン名に基づく Web コンテンツのフィルター処理が含まれます。 Microsoft では、詳細なフィルター ポリシーを Microsoft Entra ID と Microsoft Entra 条件付きアクセスと統合しています。その結果、ユーザーとコンテキストに対応し、管理が容易なフィルター ポリシーを実現できます。

Web フィルター機能は現在、ユーザーとコンテキストに対応した完全修飾ドメイン名 (FQDN) ベースの Web カテゴリ フィルター処理と FQDN フィルター処理に限定されています。

前提条件

  • グローバル セキュア アクセス機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。

  • グローバル セキュア アクセスの概要ガイドを完了します。

  • エンドユーザー デバイスにグローバル セキュア アクセス クライアントをインストールします。

  • ネットワーク トラフィックをトンネルするには、HTTPS 経由のドメイン ネーム システム (DNS) (Secure DNS) を無効にする必要があります。 トラフィック転送プロファイルで完全修飾ドメイン名 (FQDN) の規則を使用します。 詳細については、「DoH をサポートするための DNS クライアントを構成する」を参照してください。

  • Chrome および Microsoft Edge で組み込みの DNS クライアントを無効にします。

  • IPv6 トラフィックはクライアントによって取得されないため、ネットワークに直接転送されます。 関連するすべてのトラフィックをトンネリングできるようにするには、ネットワーク アダプターのプロパティを IPv4 優先に設定します。

  • ユーザー データグラム プロトコル (UDP) トラフィック (つまり QUIC) は、インターネット アクセスの現在のプレビューではサポートされていません。 ほとんどの Web サイトでは、QUIC を確立できないときの伝送制御プロトコル (TCP) へのフォールバックがサポートされています。 ユーザー エクスペリエンスの向上のためには、送信 UDP 443 をブロックする Windows ファイアウォール規則を展開できます: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443

  • Web コンテンツ フィルタリングの概念を確認します。 詳細については、Web コンテンツのフィルター処理に関するページを参照してください。

手順の概要

Web コンテンツのフィルター処理を構成するには、いくつかの手順があります。 条件付きアクセス ポリシーを構成する必要がある場所を書き留めます。

  1. インターネット トラフィックの転送を有効にします。
  2. Web コンテンツのフィルター処理ポリシーを作成します。
  3. セキュリティ プロファイルを作成します。
  4. セキュリティ プロファイルを条件付きアクセス ポリシーにリンクします。
  5. ユーザーまたはグループをトラフィック転送プロファイルに割り当てます。

インターネット トラフィックの転送を有効にする

まず、Internet Access のトラフィック転送プロファイルを有効にします。 プロファイルとその有効化方法について詳しくは、「Internet Access トラフィック転送プロファイルを管理する方法」を参照してください。

Web コンテンツのフィルター処理ポリシーを作成する

  1. [グローバル セキュア アクセス]>[セキュア]>[Web コンテンツのフィルター処理ポリシー] に移動します。
  2. [ポリシーの作成] を選択します。
  3. ポリシーの名前と説明を入力し、[次へ] を選択します。
  4. [規則の追加] を選択します。
  5. 名前を入力し、[Web カテゴリ] または[有効な FQDN]を選択し、[追加] を選択します。
    • この機能の有効な FQDN には、アスタリスク記号 *を使用してワイルドカードを含めることもできます。
  6. [次へ] を選択してポリシーを確認し、[ポリシーの作成] を選択します。

重要

Web コンテンツ フィルタリングに対する変更は、デプロイに最大 1 時間かかることがあります。

セキュリティ プロファイルを作成する

セキュリティ プロファイルは、フィルター処理ポリシーのグループです。 Microsoft Entra 条件付きアクセス ポリシーを使用して、セキュリティ プロファイルを割り当てたりリンクしたりできます。 1 つのセキュリティ プロファイルに複数のフィルター処理ポリシーを含めることができます。 また、1 つのセキュリティ プロファイルを複数の条件付きアクセス ポリシーに関連付けることができます。

この手順では、フィルター処理ポリシーをグループ化するためのセキュリティ プロファイルを作成します。 その後、セキュリティ プロファイルを条件付きアクセス ポリシーに割り当てるかリンクして、ユーザーまたはコンテキストに対応させます。

Note

Microsoft Entra 条件付きアクセス ポリシーの詳細については、「条件付きアクセス ポリシーの構築」を参照してください。

  1. [グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。
  2. [プロファイルの作成] を選択します。
  3. ポリシーの名前と説明を入力し、[次へ] を選択します。
  4. [ポリシーのリンク] を選択し、[既存のポリシー] を選択します。
  5. 既に作成した Web コンテンツのフィルター処理ポリシーを選択し、[追加] を選択します。
  6. [次へ] を選択して、セキュリティ プロファイルおよび関連付けられたポリシーを確認します。
  7. [プロファイルの作成] を選択します。
  8. [更新] を選択してプロファイル ページを更新し、新しいプロファイルを表示します。

エンド ユーザーまたはグループの条件付きアクセス ポリシーを作成し、条件付きアクセス セッション制御を使用してセキュリティ プロファイルを配信します。 条件付きアクセスは、インターネット アクセス ポリシーに関してユーザーとコンテキストに対応するための配信メカニズムです。 セッション制御の詳細については、「条件付きアクセス: セッション」を参照してください。

  1. [ID]>[保護]>[条件付きアクセス] に移動します。
  2. [新しいポリシーの作成] を選択します。
  3. 名前を入力し、ユーザーまたはグループを割り当てます。
  4. ドロップダウン メニューの [ターゲット リソース] および [グローバル セキュア アクセス] を選択し、ポリシーの適用対象を設定します。
  5. ドロップダウン メニューから [インターネット トラフィック] を選択し、このポリシーが適用されるトラフィック プロファイルを設定します。
  6. [セッション]>[グローバル セキュア アクセス セキュリティ プロファイルを使用する] を選択し、セキュリティ処理プロファイルを選択します。
  7. [選択] を選択します。
  8. [ポリシーを有効にする] セクションで、[オン] が選択されていることを確認します。
  9. [作成] を選択します

インターネット アクセス – Web コンテンツ フィルタリング

この例では、Web コンテンツ フィルタリング ポリシーを適用するときの Microsoft Entra Internet Access トラフィックのフローを示します。

次のフロー図は、インターネット リソースへのアクセスをブロックまたは許可する Web コンテンツ フィルタリング ポリシーを示しています。

図は、インターネット リソースへのアクセスをブロックまたは許可する Web コンテンツ フィルタリング ポリシーのフローを示しています。

Step 説明
1 グローバル セキュア アクセス クライアントは、Microsoft のセキュリティ サービス エッジ ソリューションへの接続を試みます。
2 クライアントは、認証と認可のために Microsoft Entra ID にリダイレクトします。
3 ユーザーとデバイスが認証されます。 ユーザーが有効なプライマリ更新トークン (PRT) を持っている場合は、認証がシームレスに行われます。
4 ユーザーとデバイスが認証されると、条件付きアクセスがインターネット アクセス CA 規則にマッチし、適用対象のセキュリティ プロファイルをトークンに追加します。 これによって、適用対象の認可ポリシーが適用されます。
5 Microsoft Entra ID は、検証のために Microsoft セキュリティ サービス エッジにトークンを提示します。
6 グローバル セキュア アクセス クライアントと Microsoft セキュリティ サービス エッジの間にトンネルが確立されます。
7 トラフィックの取得が開始され、インターネット アクセス トンネルを経由してトンネルが行われます。
8 Microsoft セキュリティ サービス エッジは、アクセス トークン内のセキュリティ ポリシーを優先度順に評価します。 これが Web コンテンツ フィルタリング ルールにマッチすると、Web コンテンツ フィルタリング ポリシーの評価が停止します。
9 Microsoft セキュリティ サービス エッジが、当該のセキュリティ ポリシーを適用します。
10 ポリシーが "ブロック" の場合は、HTTP トラフィックに対するエラーか、HTTPS トラフィックに対する接続リセット例外が発生します。
11 ポリシーが "許可" の場合は、トラフィックが宛先に転送されます。

Note

アクセス トークンによるセキュリティ プロファイルの適用のため、新しいセキュリティ プロファイルの適用には最大 60 から 90 分を要する可能性があります。 ユーザーは、新しいセキュリティ プロファイル ID が含まれる新しいアクセス トークンを、それが有効になる前に要求として受け取る必要があります。 既存のセキュリティ プロファイルへの変更では、適用の開始はより素早く行われます。

ユーザーおよびグループの割り当て

インターネット アクセス プロファイルのスコープを、特定のユーザーとグループに設定できます。 ユーザーとグループの割り当ての詳細については、「トラフィック転送プロファイルを使用してユーザーおよびグループを割り当てて管理する方法」を参照してください。

エンド ユーザー ポリシーの適用を確認する

トラフィックが Microsoft の Secure Service Edge に到達すると、Microsoft Entra Internet Access は 2 つの方法でセキュリティ制御を実行します。 暗号化されていない HTTP トラフィックでは、Uniform Resource Locator (URL) が使用されます。 トランスポート層セキュリティ (TLS) で暗号化された HTTPS トラフィックでは、Server Name Indication (SNI) が使用されます。

グローバル セキュア アクセスのクライアントがインストールされた Windows デバイスを使用してください。 インターネット トラフィック取得プロファイルが割り当てられているユーザーとしてサインインします。 Web サイトへの移動が想定どおりに許可または制限されていることをテストします。

  1. タスク マネージャー トレイのグローバル セキュア アクセス クライアント アイコンを右クリックし、[高度な診断]>[チャネル] を開きます。 インターネット アクセスの取得規則が存在することを確認します。 また、ユーザーのインターネット トラフィックのホスト名の取得とフローが参照中に取得されているかどうかを確認します。

  2. 許可されているサイトとブロックされているサイトに移動し、それらが適切に動作しているかを確認します。 [グローバル セキュア アクセス]>[監視]>[トラフィック ログ] に移動し、トラフィックが適切にブロックまたは許可されているかを確認します。

すべてのブラウザーに対する現在のブロック エクスペリエンスには、HTTP トラフィックに対するプレーンテキスト ブラウザー エラーと、HTTPS トラフィックに対する "接続リセット" ブラウザー エラーが含まれます。

HTTP トラフィックに対するプレーンテキスト ブラウザー エラーを示すスクリーンショット。

HTTPS トラフィックに対する

Note

Web コンテンツのフィルター処理に関連するグローバル セキュア アクセス エクスペリエンスの構成の変更は、通常、5 分以内に有効になります。 Web コンテンツのフィルター処理に関連する条件付きアクセスの構成変更は、約 1 時間で有効になります。

次のステップ