SSH を使用してリモート サーバーを管理する

Secure Shell (SSH) は、システム管理者にとって重要なサービスとして、IT 業界全体で広く認識されています。 セキュリティで保護されていないネットワーク経由でリモート システムにアクセスして管理するための、セキュリティで保護された暗号化された方法が提供されます。 IT 管理者は、SSH を使用して、組織のインフラストラクチャ内のサーバーとアプリケーションの構成、展開、メンテナンスなど、重要なタスクを安全に実行します。

このガイドと このビデオでは、Microsoft Entra Private Access を使用して SSH 接続を構成して確立し、リモート アクセス ワークフローのセキュリティを強化する方法について説明します。

Microsoft Entra プライベート アクセスを使用して SSH 接続を確立する

Microsoft Entra Private Access は、IT 管理者がリモート サーバーへの SSH 接続を安全に確立できるようにすることで、セキュリティで保護された ID 中心のゼロ トラスト ネットワーク アクセス (ZTNA) ソリューションを提供することで、SSH 管理トラフィックのセキュリティと効率性を強化します。

[前提条件]

次の前提条件を満たしていることを確認します。

• ライセンス - Microsoft Global Secure Access のライセンスについて説明します
  • Microsoft Entra のプランと価格の詳細を確認する
  • Windows 用のグローバル セキュリティで保護されたアクセス クライアントを参照してください
• SSH が有効になっているリモート サーバー
• リソースへのネットワーク接続を備えた Microsoft Global Secure Access プライベート ネットワーク コネクタ
  • コネクタを構成する方法 について説明します
• グローバル セキュリティで保護されたアクセス クライアントを持つデバイス
• プライベート アクセス プロファイル が有効になっている
  • グローバル セキュリティで保護されたアクセス トラフィック転送プロファイルを参照してください
• 管理者向けのグローバルなセキュリティで保護されたアクセス管理者ロール
  • 組み込みロールの詳細

条件付きアクセス ポリシーを使用して SSH トラフィックの取得とセキュリティ保護を構成する

エンタープライズ アプリケーションを作成するには:

1. Microsoft Entra 管理センターで、[グローバル セキュリティで保護されたアクセス] を参照します。
2. [ アプリケーション] を選択し、[ エンタープライズ アプリケーション] を選択します。
3. [新しいアプリケーション] を選択します。
4. SSH エンタープライズ アプリケーションの名前を入力します。
5. [ アプリケーション セグメントの作成 ] パネルが表示されます。
6. SSH トラフィックを取得するアプリケーション セグメントには、[ 宛先の種類] を選択し、リモート サーバーへの接続を提供する IP またはサブネットを追加します。
7. ポート22 宛てのトラフィックを取得するようにポートを構成します。
8. [プロトコル] で [TCP] を選択します。
9. 保存 を選択します。

アプリケーションにユーザーとグループを割り当てます。 エンタープライズ アプリケーションに割り当てられたユーザーのみが、指定されたアプリケーション セグメント経由で接続できます。

1. Microsoft Entra 管理センターで、[ グローバル セキュリティで保護されたアクセス] を参照します。
2. [ アプリケーション] を選択し、[ エンタープライズ アプリケーション] を選択します。
3. 作成した SSE エンタープライズ アプリケーションを選択し、[ ユーザーとグループ] を選択します。
4. アクセスを必要とするユーザーとグループを追加します。
5. 必要に応じて、 Microsoft Entra 条件付きアクセス ポリシーを作成して、アプリケーションのセキュリティを強化します。 詳細については、「条件付きアクセス ポリシーをプライベート アクセス アプリに適用する」を参照してください。
6. クライアント デバイスから SSH サービスにアクセスできることを確認します。

構成チェックリスト

構成を確認するには、次のチェックリストを使用します。

• サーバーが実行されていて、SSH ポートからアクセスできることを確認します。
• 正しいホスト ファイアウォール構成を確認します。
  • Windows 用の OpenSSH Server の構成に関するガイダンスを参照してください。
• アプリケーション セグメントがグローバル セキュア アクセス クライアントにダウンロードされたことを確認します。
  • Windows タスク バーの グローバル セキュリティで保護されたアクセス クライアント アイコンを右クリックします。
  • [Advanced Diagnostics>Forwarding profile>Private Access を選択します。
  • アプリケーションがアクセス プロファイルに表示されていることを確認します。

接続エラー

接続に失敗した場合は、次のチェックリストを使用します。

• サーバーの IP アドレスとポート番号を確認します。
• プライベート コネクタ サーバーから SSH ポートが許可されていることを確認します。
• SSH トラフィックをブロックする可能性があるファイアウォール規則を分離します。
• グローバル セキュリティで保護されたアクセス クライアントがトラフィックをキャプチャするを検証します。
• ユーザーがアプリケーションに割り当てられているかどうかを確認します。

次のステップ

• プライベート アクセスを使用して SSH ベースのサーバー管理用のビデオ ウォークスルー管理トラフィックを表示する
• プライベート アクセスについて
• プライベート アクセス用にコネクタを構成する方法
• GSA アプリを使用してアプリごとのアクセスを構成する方法