Microsoft Entra Private Access をデプロイして構成する

  • 8 分

Microsoft Entra Internet Access の構成と同様に、Microsoft Entra Private Access を社内にデプロイするには、4 つの主要な手順があります。 これらの 4 つの手順を完了すると、Windows デバイスにグローバル セキュア アクセス クライアントがインストールされているユーザーは、クイック アクセス アプリとプライベート ネットワーク コネクタを介してプライマリ リソースに接続できます。

手順

手順 説明
1. Microsoft Entra プライベート ネットワーク コネクタとコネクタ グループを構成します。 オンプレミス サーバーとグローバル セキュア アクセス間の接続を作成します。
2. プライベート リソースに対するクイック アクセスを構成します。 Microsoft Entra Private Access に含めるプライベートリソースの特定の完全修飾ドメイン名 (FQDN) または IP アドレスを定義します。
3. プライベート アクセス トラフィック転送プロファイルを有効にします。 プライベート アクセスを有効にし、オンプレミスのルーターからリモート ネットワークにリンクします。
4. エンド ユーザー デバイスにグローバル セキュア アクセス クライアントをインストールし、構成します。 クライアント ソフトウェアをデバイスにデプロイして、トラフィック フローにアクセスできるようにします。

Microsoft Entra プライベート ネットワーク コネクタとコネクタ グループを構成する

コネクタは、プライベート ネットワーク内のサーバー上に配置される軽量なエージェントであり、グローバル セキュア アクセス サービスへの送信接続を容易にする役割を担います。 コネクタは、バックエンドのリソースやアプリケーションにアクセスできる Windows Server 上にインストールされている必要があります。 コネクタ群はコネクタ グループにまとめることができ、グループ単位で特定のアプリケーションへのトラフィックを処理できます。

コネクタ用の Windows Server の構成

Microsoft Entra プライベート ネットワーク コネクタには、Windows Server 2012 R2 以降を実行しているサーバーが必要です。 サーバーには、プライベート ネットワーク コネクタをインストールします。 このコネクタ サーバーは、Microsoft Entra Private Access サービスとアプリケーション プロキシ サービス、および公開する予定のプライベート リソースまたはアプリケーションに接続する必要があります。

  • お使いの環境で高可用性を実現するために、複数の Windows サーバーを設置することをおすすめします。
  • コネクタに必要な最小限の .NET バージョンは、v4.7.1 以上です。
  • Windows Server でトランスポート層セキュリティ (TLS) 1.2 を有効にする必要があります。

送信用のポートを開く

ポート番号 ポートの用途
80 TLS または SSL 証明書の検証時に証明書失効リスト (CRL) をダウンロードする
443 アプリケーション プロキシ サービスに対するすべての送信通信

一部の URL へのアクセスを許可する

URL ポート ポートの用途
site.msappproxy.net、および site.servicebus.windows.net 443/HTTPS コネクタとアプリケーション プロキシ クラウド サービスの間の通信
crl3.digicert.com、crl4.digicert.com、ocsp.digicert.com、crl.microsoft.com、oneocsp.microsoft.com、および ocsp.msocsp.com 80/HTTP コネクタは、証明書の検証にこれらの URL を使用します。
login.windows.net、secure.aadcdn.microsoftonline-p.com、site.microsoftonline.com、site.microsoftonline-p.com、site.msauth.net、site.msauthimages.net、site.msecnd.net、site.msftauth.net、site.msftauthimages.net、site.phonefactor.net、enterpriseregistration.windows.net、management.azure.com、policykeyservice.dc.ad.msft.net、ctldl.windowsupdate.com、および www.microsoft.com/pkiops 443/HTTPS コネクタでは、登録プロセスにおいてこれらの URL が使用されます。
ctldl.windowsupdate.com、および www.microsoft.com/pkiops 80/HTTP コネクタでは、登録プロセスにおいてこれらの URL が使用されます。

Microsoft Entra を使用してコネクタをインストールする

  1. Microsoft Entra 管理センターに、アプリケーション プロキシを使用するディレクトリのグローバル管理者としてサインインします。
  2. 右上隅で自分のユーザー名を選択します。 アプリケーション プロキシを使用するディレクトリへのサインインを確認します。 ディレクトリを変更する必要がある場合は、[ディレクトリの切り替え] を選択し、アプリケーション プロキシを使用するディレクトリを選択します。
  3. [グローバル セキュア アクセス] > [接続] > [コネクタ] に移動します。
  4. [コネクタ サービスのダウンロード] を選択します。
  5. サービス利用規約を読みます。 準備ができたら、[規約に同意してダウンロード] を選択します。
  6. 画面の下部にある [実行] オプションを使用してコネクタをインストールします。
  7. ウィザードの指示に従ってサービスをインストールします。 Microsoft Entra テナントのアプリケーション プロキシにコネクタを登録するプロンプトが表示されたら、グローバル管理者の資格情報を入力します。

コネクタがインストールされていることを確認する

Windows Server 2012 では、次の手順で確認します。

  1. Windows キーを選択し、「services.msc」と入力して Windows サービス マネージャーを開きます。
  2. 次のサービスの状態が [実行中] かどうかを確認します。
    • "Microsoft Entra プライベート ネットワーク コネクタ" は、接続を可能にします。
    • "Microsoft Entra プライベート ネットワーク コネクタ アップデーター" は、自動更新サービスです。
    • アップデーターはコネクタの新しいバージョンを入手できるかどうかチェックし、必要に応じてコネクタを更新します。
  3. サービスの状態が [実行中] でない場合は、各サービスを右クリックして選択し、[開始] を選択します。

Microsoft Entra では、次の手順で確認します。

  1. Microsoft Entra 管理センターに、アプリケーション プロキシを使用するディレクトリのグローバル管理者としてサインインします。
  2. [グローバル セキュア アクセス] > [接続] > [コネクタ] に移動します。
    • お持ちのコネクタとコネクタ グループがすべて、このページに表示されます。
  3. コネクタを表示して詳細を確認します。
    • コネクタを展開して詳細を表示します。
    • アクティブな緑色のラベルは、コネクタがサービスに接続できることを示します。 ただし、ラベルが緑色であっても、ネットワークの問題が発生すると、コネクタがメッセージを受信できないことがあります。

コネクタのグループを作成する

  1. より迅速に割り当てるために、さまざまなコネクタをグループ化できます。
  2. [グローバル セキュア アクセス] > [接続] > [コネクタ] に移動します。
  3. [新しいコネクタ グループ] を選択します。
  4. 新しいコネクタ グループに名前を付け、ドロップダウン メニューで、このグループに含めるコネクタを選択します。
  5. [保存] を選択します。

グローバル セキュア アクセスのクイック アクセスを構成する

グローバル セキュア アクセスを使用すると、Microsoft Entra Private Access のトラフィックに含めるプライベート リソースの特定の完全修飾ドメイン名 (FQDN) または IP アドレスを定義できます。 そうすると、組織の従業員が、指定されたアプリとサイトにアクセスできるようになります。 Microsoft Entra Private Access のクイック アクセスを構成する方法について説明します。

クイック アクセス名とコネクタ グループを設定する

クイック アクセス ページで、クイック アクセス アプリの名前を指定し、コネクタ グループを選択し、アプリケーション セグメント (FQDN と IP アドレスを含む) を追加します。 構成の 3 つの手順はすべて同時に完了できるほか、初期セットアップの完了後にアプリケーション セグメントを追加することもできます。

  1. 適切なロールを使用して Microsoft Entra管理センターにサインインします。
  2. [グローバル セキュア アクセス] > [アプリケーション] > [クイック アクセス] に移動します。
  3. 名前を入力します。 "クイック アクセス" という名前にすることをおすすめします。
  4. ドロップダウン メニューから、コネクタ グループを選択します。 ドロップダウン メニューには既存のコネクタ グループが表示されます。
    • 前の手順で作成しました。
  5. ページの下部にある [保存] ボタンを選択して、"クイック アクセス" アプリを FQDN と IP アドレスの設定なしで作成します。

アプリケーション セグメントを追加する

Microsoft Entra Private Access のトラフィックに含める FQDN と IP アドレスは、このプロセス内の [Add Quick Access application segment] (クイック アクセス アプリケーション セグメントの追加) で定義します。 それらのリソースはクイック アクセス アプリの作成時に追加できるほか、後でこの場所に戻って追加することや編集することもできます。

  1. Microsoft Entra 管理センターにサインインします。

  2. [グローバル セキュア アクセス] > [アプリケーション] > [クイック アクセス] に移動します。

  3. [Add Quick Access application segment] (クイック アクセス アプリケーション セグメントの追加) を選択します。

  4. [アプリケーション セグメントの作成] パネルで、宛先の種類を選択します。

  5. 選択した宛先の種類に適した詳細を入力します。 後続のフィールドは選択内容に応じて変化します。

    • IP アドレス:

      • ネットワーク上のデバイスを識別する Internet Protocol version 4 (IPv4) アドレス (例: 192.0.2.1)。
      • 含めるポートを指定します。

    • 完全修飾ドメイン名 (ワイルドカード FQDN を含む):

      • ドメイン ネーム システム (DNS) 内においてコンピューターまたはホストの正確な場所を指定するドメイン名。
      • 含めるポートを指定します。
      • NetBIOS はサポートされていません。 たとえば、contoso/app1 の代わりに contoso.local/app1 を使用します。

    • IP アドレスの範囲 (CIDR):

      • クラスレス ドメイン間ルーティング (CIDR) は、一定範囲の IP アドレスに対応します。 IP アドレスの後には、サブネット マスクのネットワーク ビット数を示すサフィックスが付きます。
      • たとえば、192.0.2.0/24 は、IP アドレスの最初の 24 ビットがネットワーク アドレスを表し、残りの 8 ビットがホスト アドレスを表すことを示します。
      • 開始アドレス、ネットワーク マスク、ポートを指定します。

    • IP アドレスの範囲 (IP から IP):

      • 開始 IP (例: 192.0.2.1) から終了 IP (例: 192.0.2.10) までの IP アドレス範囲。
      • 開始および終了 IP アドレスと、ポートを指定します。

    • ポートを入力し、[適用] ボタンを選択します。

      • ポートを複数指定するときはコンマで区切ります。
      • ハイフンでポートの範囲を指定することもできます。
      • 値の間のスペースは変更適用時に削除されます。
      • たとえば、400 から 500、80、443 などです。

      以下の表に、よく使用される一般的なポートと、それらに関連するネットワーク プロトコルを示します。

      ポート プロトコル
      22 Secure Shell (SSH)
      80 ハイパーテキスト転送プロトコル (HTTP)
      443 ハイパーテキスト転送プロトコル セキュア (HTTPS)
      445 サーバー メッセージ ブロック (SMB) ファイル共有
      3389 リモート デスクトップ プロトコル (RDP)

  6. 完了したら、[保存] ボタンを選択します。

クイック アクセスのユーザーとグループを割り当てる

  1. Microsoft Entra 管理センターにサインインします。
  2. [グローバル セキュア アクセス] > [アプリケーション] > [クイック アクセス] に移動します。
  3. クイック アクセスで、[アプリケーション設定の編集] ボタンを選択します。
  4. サイド メニューから [ユーザーとグループ] を選択します。
  5. 必要に応じてユーザーとグループを追加します。

必要に応じて、特定の条件付きアクセス ポリシーを有効にすることができます。

トラフィック転送を有効にする - Microsoft Entra Private Access

クイック アクセス アプリの構成、プライベート リソースの追加、アプリへのユーザーの割り当てが完了したら、グローバル セキュア アクセスのトラフィック転送エリアからプライベート アクセス プロファイルを有効にできます。

プライベート アクセス トラフィック転送プロファイルは、グローバル セキュア アクセス クライアント経由でプライベート ネットワークにトラフィックをルーティングします。 このトラフィック転送プロファイルを有効にすると、リモートの作業者が VPN なしで内部リソースに接続できます。 Microsoft Entra Private Access の機能を使用すると、どのプライベート リソースがサービスをトンネリングするかを制御し、条件付きアクセス ポリシーを適用して、それらのサービスへのアクセスをセキュリティで保護できます。 構成が適用された後は、それらの構成すべてに関する確認と管理を 1 か所から実行できます。

プライベート アクセスが有効になっている [Microsoft Entra Global Secure Access] ページのスクリーンショット。

  1. Microsoft Entra 管理センターにサインインします。
  2. [グローバル セキュア アクセス] > [接続] > [トラフィック転送] に移動します。
  3. [プライベート アクセス プロファイル] のチェック ボックスをオンにします。

Windows (または Android) 用のグローバル セキュア アクセス クライアントをデプロイする

クライアントは迅速かつ簡単にインストールできます。 Microsoft Intune などのモバイル デバイス管理ツールを使用してデプロイすることも、各デバイスに手動でインストールすることもできます。 Microsoft Entra 管理センターからクライアントをダウンロードし、選択したデプロイ方法を使用する必要があります。

クライアントをダウンロードする

  1. Microsoft Entra 管理センターに、グローバル セキュア アクセス管理者としてサインインします。
  2. [グローバル セキュア アクセス] > [接続] > [クライアント ダウンロード] に移動します。
  3. [クライアントのダウンロード] を選択します。

クライアントをインストールする

  1. グローバル セキュア アクセス クライアントのセットアップ ファイルを、クライアント マシンにコピーします。
  2. セットアップ ファイル GlobalSecureAccessClient.exe を実行します。 ソフトウェア ライセンス条項に同意します。
  3. クライアントがインストールされ、ユーザーは Microsoft Entra 資格情報を使用してサインインするように求められます。
  4. ユーザーがサインインすると、接続アイコンが緑色に変化します。 接続アイコンをダブルクリックすると、接続状態を示すクライアント情報を含む通知が開きます。

代わりに、Android 上の Microsoft Intune または Microsoft Defender for Endpoint を使用して Android クライアントをインストールできます。 プロセスは似ていますが、Android ストアからクライアント アプリを取得します。