クラウド利用やリモートワークが日常化し、ITセキュリティに関する脅威が増大傾向にある昨今、ZscalerやNetskopeをはじめとするSecurity Service Edge(SSE)が注目されています。
そんな中、Microsoft の SSEである Global Secure Accessがプレビュー段階ではありますが公開されました。
Global Secure Accessは、以下の二つで構成されています。
- Microsoft Entra Internet Access(MEIA)
- エージェントをインストールしたデバイスからMiscrosoft 365やその他のSaaS、およびインターネット上のWebサイトに安全に接続する
- Microsoft Entra Private Access(MEPA)
- 社外にあるデバイスから社内のリソースに安全に接続する
本記事では、Global Secure Accessの機能の一つであるMEIAの概要について紹介いたします。
注:本記事は 2024/5/31 時点の情報をもとに記載しています。機能拡張や更新により、記載とは異なる動作となる可能性がありますのでご了承ください。
注:2024/05/14時点のパブリックプレビューをもとに記載しておりますのでご注意ください。
概要
MEIAの動作
MEIAはユーザー、デバイス、データをインターネットの脅威から保護し、Microsoft 365などのSaaSやWebサイトへのアクセスをセキュリティで保護するサービスとなっています。ID中心のSecure Web Gateway(SWG)を使用して、悪意のあるインターネットトラフィックから保護します。
動作としては、クライアントにインストールしたエージェント(GSA Client)がMicrosoft グローバルプライベートWANと同期をして、Microsoft グローバルプライベートWANに通信を転送します。その際に条件付きアクセスが適用されます。
Microsoft 365へのアクセスの場合は、Microsoft グローバルプライベートWAN内で完結します。
Microsoft 365以外へのアクセスの場合は、インターネットを経由して対象のWebサイト等にアクセスできます。
インターネット通信をする際にはWebカテゴリフィルタリングとドメインフィルタリングの制限を行うことができます。
※GSA ClientはMEIA/MEPA共通のものとなっています。
SWG機能
MEIAはID 中心のSWGを使用して、悪意のあるインターネットトラフィックから保護します。
SWG機能の詳細は以下になります。
- Webカテゴリフィルタリングとドメインフィルタリングに対応
- URLレベルでのフィルタリングは現在未対応
- Microsoft 365へのアクセスはマルチテナント制限が可能
- グローバルセキュアアクセスを使用しているクライアント端末からMicrosoft 365の別テナントへサインインしようとするとブロックされる
- MEIAはクライアントへのエージェントインストール or 拠点とのIPSec VPNによって利用可能
導入条件
管理側
- Microsoft Entra テナント
- ライセンス
- Microsoft Entra ID Premium P1
- 将来的なライセンスについては現状未定 (2024/05/31時点)
- ロール
- グローバル管理者
- ライセンス
クライアント側
- Windows 10 または Windows 11 が導入されたクライアントPC
- Android、iOS、macOS端末でも利用可能
- iOS、macOS端末についてはプライベートプレビューとなっており、先行アクセスで利用可能
- Android端末の導入条件については以下のリンク先を参照
- Android、iOS、macOS端末でも利用可能
- PCのローカル管理者権限
- Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みデバイス
導入条件の詳細については以下のリンク先をご確認ください。
Windows 用 グローバル セキュア アクセス クライアント (プレビュー) - Global Secure Access | Microsoft Learn
Demo
Demoでは、以下3点を確認していきます。
- クライアントPCのエージェントがONの時、条件付きアクセスにてMEIA経由時のみMicrosoft 365へのアクセスができること
- エージェントがONの時、条件付きアクセスにてMEIA経由時のみWebカテゴリ「Government」とドメイン「jbs.co.jp」へのインターネットアクセスはブロックされること
- エージェントがONの時、テナント制限により、自社以外のテナントにある Microsoft 365 サービスへのアクセスがブロックされること
Demo環境の準備
クライアントPC
事前に、MEIAの導入条件を満たすクライアントPCをMicrosoft Azureで作成しておきます。
MEIAの設定
下記の手順でMEIAを設定しておきます。
- テナントでGlobal Secure Accessの有効化
- トラフィック転送プロファイルの設定
- アダプティブアクセスの有効化
- クライアントPCにエージェント(GSA Client)をインストール
- Webコンテンツフィルターポリシーの設定
- セキュリティプロファイルの設定
- 条件付きアクセスを設定
Demoの実施
Demo:エージェントがONの時の動作
1.クライアントPCにRDP接続します。
2.クライアントPCのエージェントが動作していることを確認します。
3.Microsoft 365へアクセスができることを確認します。
4.Webカテゴリ「Government」に該当する以下のサイトにアクセスしてみます。
出典:文部科学省(https://www.mext.go.jp/)
5.アクセスがブロックされたことが確認できます。
出典:文部科学省(https://www.mext.go.jp/)
6.以下の「jbs.co.jp」へアクセスしてみます。
7.アクセスがブロックされたことが確認できます。
8.制限をしていないWebサイトの例として、JBS Tech Blog(blog.jbs.co.jp)にアクセスしてみると、問題なくアクセスできることが確認できます。
9.自社以外のテナントにある Microsoft 365 サービスへのアクセスを試みると、テナント制限により以下のようにブロックされることが確認できます。
Demo:エージェントがOFFの時の動作
1.クライアントPCのタスクトレイからエージェントを右クリックして、「Pause」を選択します。これによりエージェントを停止させることができます。
※エージェントを再開させるには「Resume」「Restart」を選択してください。
2.以下のようにMicrosoft 365へアクセスすると、クライアントPCのエージェントがOFFの時、Microsoft 365へのアクセスができないことが確認できました。
3.Webカテゴリ「Government」に該当する以下のサイトにアクセスしてみます。
出典:文部科学省(https://www.mext.go.jp/)
4.以下でアクセスできることが確認できます。
出典:文部科学省(https://www.mext.go.jp/)
5.以下の「jbs.co.jp」へアクセスしてみます。
6.以下のようにアクセスできましたので、エージェントがOFFの時、Webカテゴリ「Government」とドメイン「jbs.co.jp」へのインターネットアクセスはブロックされないことが確認できました。
7.エージェントがOFFの時、自社以外のテナントにある Microsoft 365 サービスへアクセスを試みると、テナント制限が適用されずブロックされないことが確認できます。
終わりに
本記事では、Global Secure Accessの概要と展開イメージ:Microsoft Entra Internet Access編について解説しました。
WebカテゴリフィルタリングのWebカテゴリの種類が限られていることや、ドメインフィルタリングも現時点ではFQDNしか対応していないことから、現在のプレビュー段階ではMicrosoft 365へのアクセスという範囲での利用を考える必要があると感じました。
本サービスは、現時点ではまだ公式ドキュメントを除くと情報が少ないため、本記事が導入効果の参考になればと思います。
PR:導入サポート for Microsoft Entra Internet Access / Private Access
JBSではMicrosoft Entra Internet Access / Private Accessについてお客様のニーズに合わせて「PoC」「環境構築」「移行サポート」の 3つのサービスを自由に選択できる導入サポートを提供しております。
不要なコストをかけずにゼロトラストネットワーク環境のスムーズな導入・構築・展開をサポートいたします。
詳細については、以下のリンクをご参照ください。
導入サポート for Microsoft Entra Internet Access / Private Access|JBS 日本ビジネスシステムズ株式会社