Microsoft Entra Suite には、最新のリモート作業シナリオでオンプレミスおよびレガシ アプリケーションにアクセスできるユーザーを管理する堅牢なソリューションをデプロイする機能が用意されています。 Microsoft Entra Private Access を使用すると、ユーザーがオンプレミスであるかリモートでアクセスしているかに関係なく、ユーザーがプライベート ネットワーク上の既存の Web アプリ、レガシ アプリ、その他のリソースに安全に接続する方法を最新化できます。 エンタイトルメント管理を使用すると、組織はアクセス要求ワークフロー、アクセス割り当て、レビュー、有効期限を自動化することで、ID とアクセスのライフサイクルを大規模に管理できます。
クラウド アプリ、プロビジョニングまたはフェデレーションをサポートするオンプレミス アプリ、またはセキュリティ グループと同様に、Microsoft Entra Private Access 経由の接続用に構成されたアプリをエンタイトルメント管理に統合できるため、組織はさまざまな種類のリソース間で一貫したガバナンス プロセスを維持できます。
従来、Entra アプリケーション プロキシは、VPN を必要とせずに、オンプレミスの Web ベースのアプリケーションに安全なリモート アクセスを提供するために使用されてきました。 リモートで作業しているユーザーは、従来は MSSQL、SSH、RDP などのプロトコルに VPN を必要とする Web ベース以外のアプリへのアクセスが必要な場合があります。 これには、次の 2 つの重要な問題があります。
- ほとんどの VPN は、ネットワーク全体にアクセスできます
- 一部の VPN は、従来、クライアントを持つすべてのユーザーにアクセス権を付与し、ユーザーのアクセスの承認された必要性を確認しません。
一般的なシナリオ
次のシナリオは、プライベート ネットワーク上のアプリケーションにアクセスできるユーザーを管理することで、Microsoft Entra Suite が環境の最新化にどのように役立つかを示しています。
シナリオ 1: 非 Active Directory 統合アプリケーションの VPN 置換
Entra ID Governance では、オンプレミス アプリにアクセスする必要があるユーザーを確立できます。これにより、ユーザーはオンプレミスにいないときに Entra Private Access を介してアプリに安全にアクセスできます。
多くの組織には、プライベート ネットワーク上にアプリケーションがあり、割り当てられたユーザーが組織のネットワークにいる間にそれらのアプリにアクセスできます。 Microsoft Entra のプロビジョニング コネクタを通じて、Entra ID Governance は、LDAP ディレクトリや SQL データベースなどのほとんどのオンプレミス システムでのユーザー アカウントの作成を調整できます。
シナリオに応じて、実際のアプリケーションを表す 2 つまたは 3 つのオブジェクトが Entra に存在します。
- そのアプリケーションのエンドポイントへの Entra プライベート アクセス接続を表すアプリケーション オブジェクトがあります。
- アプリケーションが ID プロバイダーとして Microsoft Entra ディレクトリにフェデレーションされている場合は、SAML、OAuth、OpenID Connect の使用など、アプリケーションのエンドポイントに対するユーザーの認証を表すアプリケーション オブジェクトが存在します。
- アプリケーションでオンプレミスのプロビジョニング エージェント コネクタを使用して LDAP、SQL、PowerShell、SOAP、または REST 経由でプロビジョニングする場合は、そのプロビジョニング統合を表すアプリケーション オブジェクトが存在します。
- アプリケーションで Microsoft Entra によって作成された Active Directory グループが使用されている場合 (以下のシナリオ 3 を参照)、グループが存在します
関連するアプリケーションのリソースをアクセス パッケージに含めると、ユーザーがパッケージを要求して承認されると、各アプリでアプリ ロールの割り当てを受け取ります。 これにより、アプリにプロビジョニングされ (必要な場合)、Microsoft Entra が要求に応じてアプリのユーザーのフェデレーション トークンを発行し、ユーザーは Entra Private Access を使用してアプリに接続できるようになります。 ユーザーのアクセス パッケージの割り当てが終了すると、そのアカウントがアプリから削除され、アプリに接続する機能も取り消されます。
シナリオ 2: オンプレミスの Active Directory 統合アプリケーションの VPN 置換
多くの場合、組織は、クラウドとオンプレミスの両方に ID が存在するハイブリッド ユーザー向けに、AD 統合アプリケーションへのセキュリティで保護されたアクセスを可能にする課題に直面しています。 Entra Private Access、エンタイトルメント管理、グループライトバックを利用することで、組織はハイブリッド ユーザーに対して AD 統合オンプレミス アプリへの管理アクセスを実装できます。
Entra のグループは、Entra グループメンバーシップをオンプレミスの AD グループと同期するグループライトバック用に構成されています。 ユーザーは、Entra セキュリティ グループを含む Entra 内のアクセス パッケージの要求を送信することで、プロセスを開始します。 要求が承認されると、ユーザーにアクセス パッケージが割り当てられ、グループに追加されます。
グループの書き戻しによって、ユーザーの Entra グループ メンバーシップは、対応するオンプレミス AD グループに反映されます。 この同期により、オンプレミスの AD グループのメンバーシップは、Entra で行われた変更に従って常に最新の状態に保たれます。 さらに、オンプレミスの AD グループは、ターゲットのオンプレミス アプリケーションへのアクセスを提供するように構成されます。 グループ メンバーシップは、ユーザーがオンプレミス リソースに安全に接続できる条件を定義するプライベート アクセス スコープ ポリシーで構成されています。
ユーザーのアクセスがプロビジョニングされたので、Entra Private Access を使用してオンプレミス アプリケーションに安全に接続できるようになりました。
シナリオ 3: 切断されたアプリの VPN 置換
組織には、プロビジョニング プロトコルや Kerberos や SAML などの先進認証プロトコルをサポートしていないレガシ アプリケーションがある場合があります。 これらのシナリオでは、組織はユーザーをアプリに手動でプロビジョニングし、アプリを依存関係と Entra Private Access プロキシと共に別のネットワーク セグメント (VLAN) に配置できます。 これにより、オンプレミスでもユーザーがアプリに接続できなくなります。
その後、ユーザーは保護されたアプリへのアクセスを要求できます。 承認されると、Entra ID Governance は、アプリ所有者が従業員 にそのシステムのアカウントを手動で付与するためのサービス チケット (ServiceNow など) を開きます。 その後、Entra ID ガバナンスは、ユーザーを Entra 内のアプリの表現に割り当てます。
従業員が PC からアプリに接続すると、Entra Private Access は自動的に PC から保護されたアプリへの接続を安全にトンネルします。
アクセスの割り当てが期限切れになると、Entra ID Governance は同様に、アプリ所有者が自分のアカウントを手動で削除するための別のチケットを開き、そのアプリケーションに接続するユーザーの機能を削除します。
