Global Secure Access の概要

  • [アーティクル]

Microsoft の Security Service Edge である Global Secure Access (プレビュー) は、機能を構成および管理できる、Microsoft Entra 管理センター内の一元化された場所です。 多くの機能と設定は、Microsoft Entra Private Access と Microsoft Entra Internet Access の両方に適用されます。 一部の機能は、いずれかに固有です。

このガイドは、両方のサービスを初めて構成するのに役立ちます。

前提条件

Global Secure Acces プレビュー機能を操作する管理者は、Global Secure Acces 管理者の役割を持っている必要があります。 一部の機能では、他のロールが必要な場合もあります。

最小特権のゼロ トラスト原則に従うには、Privileged Identity Management (PIM) を使用して、Just-In-Time で特権ロールの割り当てをアクティブ化することを検討してください。

このプレビューには、Microsoft Entra ID P1 ライセンスが必要です。 必要な場合は、こちらでライセンスを購入するか試用版ライセンスを取得できます。 Microsoft 365 トラフィック転送プロファイルのご使用には、Microsoft 365 E3 ライセンスをお勧めします。 一般提供の後は、Microsoft Entra Private Access と Microsoft Entra Internet Access には異なるライセンスが必要になる場合があります。

関連記事で定義されている Global Secure Access プレビューの一部の機能には制限がある場合があります。

Microsoft Entra 管理センターにアクセスする

Global Secure Access (プレビュー) は、Microsoft Entra Internet Access と Microsoft Entra Private Access を構成および管理するMicrosoft Entra管理センター内の領域です。

アクセスの問題が発生した場合は、テナントの制限に関するこちらの FAQ を参照してください。

Microsoft Entra インターネット アクセス

Microsoft Entra Internet Access は、Exchange Online や SharePoint Online などの Microsoft 365 アプリケーションとリソースのトラフィックを分離します。 ユーザーは、Global Secure Access クライアントに接続するか、ブランチ オフィス拠点などのリモート ネットワークを介してこれらのリソースにアクセスできます。

クライアントをインストールして Microsoft 365 トラフィックにアクセスする

基本的な Microsoft Entra Internet Access トラフィック フローの図。

  1. Microsoft 365 トラフィック転送プロファイルを有効にします
  2. エンドユーザー デバイスに Global Secure Access クライアントをインストールして構成します
  3. ユニバーサル テナントの制限を有効にします
  4. 強化された Global Secure Access シグナリングと条件付きアクセスを有効にします

これらの 4 つの手順を完了すると、Windows デバイスに Global Secure Access クライアントがインストールされているユーザーは、どこからでも Microsoft 365 リソースに安全にアクセスできます。 条件付きアクセス ポリシーでは、ユーザーが Exchange Online および SharePoint Online にアクセスするときに、Global Secure Access クライアントまたは構成されたリモート ネットワークを使用する必要があります。

リモート ネットワークの作成、条件付きアクセスの適用、ログの確認

リモート ネットワークと条件付きアクセスを使用した Microsoft Entra Internet Access トラフィック フローの図。

  1. リモート ネットワークを作成します
  2. Microsoft 365 トラフィック プロファイルを条件付きアクセス ポリシーの対象にします
  3. Global Secure Access のログを確認します

これらのオプションの手順を完了すると、ユーザー は、作成したリモート ネットワーク経由で接続していて、"かつ"、条件付きアクセス ポリシーに追加した条件を満たしている場合には、Global Secure Access クライアントなしで Microsoft 365 サービスに接続できます。

Microsoft Entra プライベート アクセス

Microsoft Entra Private Access は、VPN を必要とせずに内部リソースにアクセスするための、セキュリティで保護されたゼロ トラスト アクセス ソリューションを提供します。 クイック アクセスを構成し、プライベート アクセス トラフィック転送プロファイルを有効にして、Microsoft Entra Private Access 経由でルーティングするサイトとアプリを指定します。 現時点では、Microsoft Entra Private Access を使用するには、Global Secure Access クライアントをエンド ユーザー デバイスにインストールする必要があります。この手順はこのセクションに含まれています。

プライマリ プライベート リソースへのクイック アクセスを構成する

Microsoft Entra Private Access を使用して、ネットワークへのより広範なアクセスのためのクイック アクセスを設定します。

プライベート リソースのためのクイック アクセスのトラフィック フローの図。

  1. Microsoft Entra プライベート ネットワーク コネクタとコネクタ グループを構成します。
  2. プライベート リソースへのクイック アクセスを構成します
  3. プライベート アクセス トラフィック転送プロファイルを有効にする
  4. エンドユーザー デバイスに Global Secure Access クライアントをインストールして構成します

これらの 4 つの手順を完了すると、Windows デバイスにグローバル セキュア アクセス クライアントがインストールされているユーザーは、クイック アクセス アプリとプライベート ネットワーク コネクタを介してプライマリ リソースに接続できます。

プライベート リソースへのアプリ別アクセスのための Global Secure Access アプリを構成する

Microsoft Entra Private Access を使用して、プライベート アクセス リソースに対するきめ細かくセグメント化されたアクセスのための特定のプライベート アプリを作成します。

プライベート リソースのための Global Secure Access アプリのトラフィック フローの図。

  1. プライベート ネットワーク コネクタとコネクタ グループを構成します。
  2. プライベート Global Secure Access アプリを作成します
  3. プライベート アクセス トラフィック転送プロファイルを有効にする
  4. エンドユーザー デバイスに Global Secure Access クライアントをインストールして構成します

これらの手順を完了すると、Windows デバイスに Global Secure Access クライアントがインストールされているユーザーは、Global Secure Access アプリとプライベート ネットワーク コネクタを介してプライベート リソースに接続できます。

必要に応じて、次の操作を行います。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

Microsoft Entra Internet Access の使用を開始するには、まず Microsoft 365 トラフィック転送プロファイルを有効にします

Microsoft Entra Private Access の使用を開始するには、まずクイック アクセス アプリのプライベート ネットワーク コネクタ グループを構成します。