次の方法で共有

トランスポート層セキュリティ検査の構成 (プレビュー)

Microsoft Entra Internet Access のトランスポート層セキュリティ (TLS) 検査を使用すると、サービス エッジの場所で暗号化されたトラフィックを復号化して検査できます。 この機能により、Global Secure Access では、脅威の検出、コンテンツのフィルター処理、詳細なアクセス ポリシーなどの高度なセキュリティ制御を適用できます。 これらのアクセス ポリシーは、暗号化された通信で非表示になる可能性がある脅威から保護するのに役立ちます。

Von Bedeutung

トランスポート層セキュリティ検査機能は現在プレビュー段階です。
この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
プレビュー段階では、運用環境では TLS 検査を使用しないでください。

この記事では、コンテキスト対応のトランスポート層セキュリティ検査ポリシーを作成し、それを組織内のユーザーに割り当てる方法について説明します。

[前提条件]

このプロセスの手順を完了するには、次の前提条件が満たされている必要があります。

  • 証明書署名要求 (CSR) に署名し、TLS 検査用の中間証明書を生成するための公開キー 基盤 (PKI) サービス。 テスト シナリオでは、OpenSSL で作成された自己署名ルート証明書を使用することもできます。
  • 組織の Microsoft Entra ID に Microsoft Entra 参加済みまたはハイブリッド参加済みの Windows を実行しているデバイスまたは仮想マシンをテストします。
  • Microsoft Entra Internet Access の試用版ライセンス。
  • グローバルなセキュリティで保護されたアクセスの前提条件

コンテキスト対応 TLS 検査ポリシーを作成する

コンテキスト対応のトランスポート層セキュリティ検査ポリシーを作成し、組織内のユーザーに割り当てるには、次の手順を実行します。

  1. CSR を作成し、TLS 終了用の署名付き証明書をアップロードする
  2. TLS 検査ポリシーを作成する
  3. TLS 検査ポリシーをセキュリティ プロファイルにリンクする
  4. 構成をテストする

手順 1: グローバル セキュリティで保護されたアクセス管理者: CSR を作成し、TLS 終了用の署名付き証明書をアップロードする

CSR を作成し、TLS 終了用の署名付き証明書をアップロードするには:

  1. グローバル セキュア アクセス 管理者として Microsoft Entra 管理センターにログインします。

  2. グローバル セキュア アクセス>>を参照します。

  3. TLS 検査設定タブに切り替えます。

  4. [ + 証明書の作成] を選択します。

  5. [ 証明書の作成 ] ウィンドウで、次のフィールドに入力します。

    • 証明書名: この名前は、ブラウザーで表示されるときに証明書階層に表示されます。 一意で、スペースを含めず、長さは 12 文字以下にする必要があります。 以前の名前を再利用することはできません。
    • 共通名 (CN): 中間証明書を識別する共通名 (Contoso TLS ICA など)。
    • 組織単位 (OU): Contoso IT などの組織名。

  6. [ CSR の作成] を選択します。 フィールドが入力され、[CREATE CSR]\(CSR の作成\) ボタンが強調表示されている [証明書の作成] ペインのスクリーンショット。

  7. PKI サービスを使用して CSR に署名します。 サーバー認証が拡張キーの使用法と基本拡張機能の certificate authority (CA)=truekeyUsage=critical,keyCertSign,cRLSign、および basicConstraints=critical,CA:TRUE になっていることを確認します。 署名された certifcate を .pem 形式で保存します。

  8. [ +証明書のアップロード] を選択します。

  9. [証明書のアップロード] フォームで、certificate.pem ファイルと chain.pem ファイルをアップロードします。

  10. [ 署名付き証明書のアップロード] を選択します。 [証明書のアップロード] フォームのスクリーンショット。アップロード フィールドに証明書ファイルとチェーン証明書ファイルの例が含まれています。

  11. 証明書がアップロードされると、状態が [アクティブ] に変わります。
    証明書の状態が [アクティブ] に設定されている [TLS 検査設定] タブのスクリーンショット。

テスト構成については、「 OpenSSL を使用した自己署名ルート証明機関によるテスト」を参照してください。

手順 2: グローバル セキュリティで保護されたアクセス管理者: TLS 検査ポリシーを作成する

TLS 検査ポリシーを作成するには:

  1. Microsoft Entra 管理センターで、 Secure>TLS 検査ポリシーに移動します。
  2. アクション検査 に設定された新しいポリシーを作成します。
  3. 保存 を選択します。 この構成により、Education、Finance、Government、Health and medicine を除くすべてのトラフィック カテゴリで TLS 終了が有効になります。 [レビュー] タブが開いている [TLS 検査ポリシーの作成] 画面のスクリーンショット。

TLS 検査ポリシーをセキュリティ プロファイルにリンクします。

ユーザー トラフィックに対して TLS 検査を有効にする前に、組織がエンド ユーザーに対して適切な使用条件 (ToU) を確立して伝達していることを確認します。 この手順は、透明性を維持するのに役立ち、プライバシーと同意の要件への準拠をサポートします。

TLS ポリシーをセキュリティ プロファイルにリンクするには、次の 2 つの方法があります。

この方法では、ベースライン プロファイル ポリシーは最後に評価され、すべてのユーザー トラフィックに適用されます。

  1. Microsoft Entra 管理センターで、 Secure>Security プロファイルに移動します。
  2. 基準プロファイル タブに切り替えます。
  3. [プロファイル 編集を選択します。
  4. [ポリシーのリンク] ビューで、[ + ポリシーのリンク>TLS 検査ポリシーの作成] を選択します。
  5. [TLS 検査ポリシーのリンク] ビューで、TLS ポリシーを選択し、優先度を割り当てます。
  6. [] を選択し、[] を追加します。
    ポリシー名とその優先順位の一覧を示す [ベースライン プロファイルの編集] 画面のスクリーンショット。

または、セキュリティ プロファイルに TLS ポリシーを追加し、特定のユーザーまたはグループの 条件付きアクセス ポリシー にリンクします。 すべてのフィールドにサンプル情報が入力された新しい条件付きアクセス ポリシー フォームのスクリーンショット。

手順 4: 構成をテストする

構成をテストするには:

  1. エンド ユーザー デバイスのルート証明書が信頼されたルート証明機関フォルダーにインストールされていることを確認します。 [信頼されたルート証明機関] フォルダーのスクリーンショット。

  2. グローバル セキュア アクセス クライアントを設定します。

    • セキュリティで保護された DNS と組み込みの DNS を無効にします。
    • デバイスからの QUIC トラフィックをブロックします。 QUIC は、Microsoft Entra Internet Access ではサポートされていません。 QUIC を確立できない場合、ほとんどの Web サイトは TCP へのフォールバックをサポートしています。 ユーザー エクスペリエンスを向上させるために、送信 UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443をブロックする Windows ファイアウォール規則を展開します。
    • インターネット アクセス トラフィック転送が有効になっていることを確認します。 

  3. クライアント デバイスでブラウザーを開き、さまざまな Web サイトをテストします。 証明書情報を検査し、グローバル セキュリティで保護されたアクセス証明書を確認します。 グローバル セキュリティで保護されたアクセス証明書が強調表示されている証明書ビューアーのスクリーンショット。

TLS 検査を無効にする

TLS 検査を無効にするには:

  1. セキュリティ プロファイルからポリシー リンクを削除します。
    1. [グローバル セキュア アクセス]>[セキュア]>[セキュリティ プロファイル] に移動します。
    2. 基準プロファイル タブに切り替えます。
    3. [プロファイル 編集を選択します。
    4. ポリシーのリンク設定ビューを選択します。
    5. 無効にするポリシーの [削除 ] アイコンを選択します。
    6. [削除] を選択して確定します。
  2. TLS 検査ポリシーを削除します。
    1. グローバル セキュア アクセス>>を参照します。
    2. [アクション] を選択します
    3. を選択して、を削除します。
  3. TLS 検査ポリシー証明書を削除します。
    1. TLS 検査設定タブに切り替えます。
    2. [アクション] を選択します
    3. を選択して、を削除します。

OpenSSL を使用して自己署名ルート証明機関でテストする

テスト目的でのみ、OpenSSL で作成した自己署名ルート証明機関 (CA) を使用して CSR に署名します。 OpenSSL を使用してテストするには:

  1. まだない場合は、次の構成で openssl.cnf ファイルを作成します。
[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ signedCA_ext ]
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth
  1. 次の openssl.cnf 構成ファイルを使用して、新しいルート証明機関と秘密キーを作成します。
    openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCA.key -sha256 -days 365 -out rootCA.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext
  2. 次のコマンドを使用して CSR に署名します。 openssl x509 -req -in <CSR file> -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out signedcertificate.pem -days 365 -sha256 -extfile openssl.cnf -extensions signedCA_ext
  3. 「CSR の作成」の手順に従って署名された 証明書をアップロードし、TLS 終了用の署名付き証明書をアップロードします。

関連コンテンツ