Microsoft Entra Private Access を使用するソリューションを評価する
Microsoft Entra Private Access を使用するソリューションを評価する
Microsoft Entra Private Access は、プライベートまたは内部とみなす完全修飾ドメイン名 (FQDN) と IP アドレスに組織がアクセスする方法を管理できるように、それらを指定する機能を解放します。 プライベート アクセスを使用すると、組織のユーザーがプライベート アプリとリソースにアクセスする方法を最新化できます。 グローバル セキュア アクセス クライアントがインストールされている場合、リモートの作業者がこれらのリソースにアクセスするために VPN を使用する必要はありません。 クライアントは、必要なリソースにプロンプトなしでシームレスに接続します。
プライベート アクセスには、サービスをトンネリングするプライベート リソースを構成する 2 つの方法が用意されています。 セキュリティで保護する FQDN と IP アドレスのプライマリ グループであるクイック アクセスを構成できます。 アプリごとのアクセス用にグローバル セキュア アクセス アプリを構成することもできます。これを使用すると、セキュリティで保護するプライベート リソースのサブセットを指定できます。 グローバル セキュア アクセス アプリは、プライベート リソースをセキュリティで保護するための詳細なアプローチを提供します。
Microsoft Entra Private Access の機能には、条件付きアクセスのセキュリティで保護された機能を使用して、1 回限りの簡単な構成で内部リソースに安全にアクセスできるように VPN を迅速かつ簡単に置き換える方法が用意されています。
クイック アクセスとグローバル セキュア アクセス アプリ
クイック アクセスとグローバル セキュア アクセス アプリを構成するときは、新しいエンタープライズ アプリケーションを作成します。 アプリは、セキュリティで保護するプライベート リソースのコンテナーとして機能します。 アプリケーションには、サービスと内部リソース間の接続を仲介する独自の Microsoft Entra プライベート ネットワーク コネクタがあります。 アプリにユーザーとグループを割り当て、次に条件付きアクセス ポリシーを使用してアプリへのアクセスを制御できます。
クイック アクセスとアプリごとのアクセスは似ていますが、それぞれを構成する方法を決断できるように、理解する必要がある重要な概念がいくつかあります。
クイック アクセス アプリ
クイック アクセスは、セキュリティで保護する FQDN と IP アドレスのプライマリ グループです。 グローバル セキュア アクセスのデプロイを計画するときは、プライベート リソースの一覧を確認し、どのリソースが "常に" サービスをトンネリングするかを決定します。 この FQDN、IP アドレス、および IP 範囲のプライマリ グループが、クイック アクセスへの追加内容です。
グローバル セキュア アクセス アプリ
次のいずれかのシナリオが珍しくない場合は、グローバル セキュア アクセス アプリを構成することが考えられます。
- ユーザーのサブセットに別の条件付きアクセス ポリシーのセットを適用する必要がある。
- セキュリティで保護するプライベート リソースがいくつかあるが、異なるアクセス ポリシーのセットを設定する必要がある。
- 特定の期間に対してのみセキュリティで保護する必要があるプライベート リソースのサブセットがある。
グローバル セキュア アクセス アプリは、プライベート リソースをセキュリティで保護するために、より詳細なアプローチを使用します。 アプリごとに複数のアクセス アプリを作成して、異なるプライベート リソースをセキュリティで保護できます。 条件付きアクセス ポリシーと組み合わせると、プライベート リソースをセキュリティで保護するための強力かつ、きめ細かい方法になります。