Global Secure Accessの概要と展開イメージ:Microsoft Entra Private Access編

クラウド利用やリモートワークが日常化し、ITセキュリティに関する脅威が増大傾向にある昨今、ZscalerやNetskopeをはじめとするSSE(Security Service Edge)が注目されています。

そんな中、Microsoft の SSEである Global Secure Accessがプレビュー段階ではありますが公開されました。

Global Secure Accessは、以下の二つで構成されています。

  • Microsoft Entra Internet Access(MEIA)
    • エージェントをインストールしたデバイスからMiscrosoft 365やその他のSaaS、およびインターネット上のWebサイトに安全に接続する
  • Microsoft Entra Private Access(MEPA)
    • 社外にあるデバイスから社内のリソースに安全に接続する

本記事では、Global Secure Accessの機能の一つであるMEPAの概要について紹介いたします。

注:本記事は 2024/5/31 時点までの情報をもとに記載しています。機能拡張や更新により、記載とは異なる動作となる可能性がありますのでご了承ください。
注:2024/05/14時点のパブリックプレビューをもとに記載しておりますのでご注意ください。

概要

MEPAの動作

MEPAではID中心のゼロトラストネットワークアクセス(ZTNA)を使用して、どこからでもユーザーがすべてのプライべートアプリとリソースに安全にアクセスできます。

動作としては、まずはじめにクライアントにダウンロードされているエージェント(GSA Client)がMicrosoft グローバルプライベートWANと同期をして通信を転送します。

その際に条件付きアクセスが適用され、Microsoft グローバルプライベートWANからプライベートネットワークコネクタを経由して該当のアプリケーションにアクセスすることができます。

※GSA ClientはMEIA/MEPA共通のものとなっています。

ZTNA機能

ID 中心のZTNAを使用して、どこにいてもユーザーがプライベートアプリとリソースに安全にアクセスできます。

ZTNA機能の詳細は以下になります。

  • 現在はTCPのみ対応
    • UDPについても今後利用できるようになり、UDPを利用するクライアントからサーバーへの通信を行うアプリが公開できる
  • Application Proxyとは異なり、外部用URLや内部用URL等の設定は不要
  • リモートVPNのようにGlobal IPを外部に公開する必要がない

導入条件

管理側

  • Microsoft Entra テナント
    • ライセンス
      • Microsoft Entra ID Premium P1
      • 将来的なライセンスについては現状未定(2024/05/31時点)
    • ロール
      • グローバル管理者
  • プライベートネットワークコネクタ導入用サーバー

クライアント側

導入条件の詳細については以下のリンク先をご確認ください。

Windows 用 グローバル セキュア アクセス クライアント (プレビュー) - Global Secure Access | Microsoft Learn

Demo

Demoでは、クライアントPCにインストールされたエージェント(GSA Client)がONの時のみエージェントからコネクタ間が暗号化され、社内リソースに対して プライベートIPアドレスを使ってアクセス(RDP)ができることを確認していきます。

その際に社内リソースへのアクセス時にMFAで許可される点も確認していきます。

Demo環境の準備

Microsoft Azure環境

事前にMEPAの導入条件を満たす以下をMicrosoft Azureで作成しておきます。

  • クライアントPC(IPアドレス:10.0.0.4)(Vnet-A)
  • プライベートネットワークコネクタ導入用サーバー(IPアドレス:10.11.0.4)(Vnet-B)
    • 本来は冗長化 & ロード バランシングのため2 台以上の構成が推奨だが、今回はDemoのため 1 台構成とする
  • 社内リソース用サーバー(IPアドレス:10.11.0.5)(Vnet-B)

環境としてはリモート環境とオンプレミスのDC環境を想定しています。リモート環境をVnet-A、オンプレミスのDCをVnet-Bとそれぞれ分けています。

MEPAの設定

下記の手順でMEPAを設定しておきます。

  1. テナントでGlobal Secure Accessの有効化
  2. トラフィック転送プロファイルの有効化
  3. プライベートネットワークコネクタをコネクタ導入用サーバーにインストール
  4. コネクタグループを作成
  5. エンタープライズアプリケーションを設定
  6. クライアントPCにエージェント(GSA Client)をインストール
  7. 条件付きアクセスを設定

Demoの実施

Demo:エージェントがONの時の動作

1.クライアントPCにRDP接続します。

2.クライアントPCのエージェントが動作していることを確認します。

3.クライアントPC(IPアドレス:10.0.0.4)から社内リソース用サーバーのローカルIPアドレス(10.11.0.5)もしくはホスト名(testuser03.test01.local)でRDP接続をします。

4.MFA認証が要求されます。

5.MFA認証が完了しましたら、ユーザー名とパスワードを入力します。

6.以下のようにローカルIPアドレス(10.11.0.5)もしくはホスト名(testuser03.test01.local)でRDP接続ができたことが確認できます。

7.Microsoft Entra 管理センターのTraffic logsからDestination IP(10.11.0.5)とDestination FQDN(testuser03.test01.local)へのActionがAllowになっていることが確認できます。

Demo:エージェントがOFFの時の動作

1.クライアントPCのタスクトレイからエージェントを右クリックして、「Pause」を選択します。これによりエージェントを停止させることができます。
※エージェントを再開させるには「Resume」「Restart」を押してください。

2.ローカルIPアドレス(10.11.0.5)もしくはホスト名(testuser03.test01.local)でRDP接続を試みると、以下の画面が表示されRDP接続が拒否されて失敗に終わります。エージェントONで接続が許可され、OFFにすると接続ができないことが確認できました。

終わりに

本記事では、Global Secure Accessの概要と展開イメージ:Microsoft Entra Private Access編について解説しました。

MEPAは従来の Application Proxy の弱点であったWebベースのみという制限がなくなるため、VPN廃止や条件付きアクセスをかけてMicrosoft 365と同じセキュリティレベルで社内アプリを利用したいお客様におすすめのサービスとなります。

本サービスは現時点ではまだ公式ドキュメントを除くと情報が少ないため、本記事が導入効果の参考になればと思います。

PR:導入サポート for Microsoft Entra Internet Access / Private Access

JBSではMicrosoft Entra Internet Access / Private Accessについてお客様のニーズに合わせて「PoC」「環境構築」「移行サポート」の 3つのサービスを自由に選択できる導入サポートを提供しております。

不要なコストをかけずにゼロトラストネットワーク環境のスムーズな導入・構築・展開をサポートいたします。

詳細については、以下のリンクをご参照ください。

導入サポート for Microsoft Entra Internet Access / Private Access|JBS 日本ビジネスシステムズ株式会社

執筆担当者プロフィール
森田 夕雅

森田 夕雅(日本ビジネスシステムズ株式会社)

2023年度入社。主にネットワークとセキュリティを扱うグループに所属しています。 よろしくお願いいたします。

担当記事一覧