クラウド利用やリモートワークが日常化し、ITセキュリティに関する脅威が増大傾向にある昨今、ZscalerやNetskopeをはじめとするSSE(Security Service Edge)が注目されています。
そんな中、Microsoft の SSEである Global Secure Accessがプレビュー段階ではありますが公開されました。
Global Secure Accessは、以下の二つで構成されています。
- Microsoft Entra Internet Access(MEIA)
- エージェントをインストールしたデバイスからMiscrosoft 365やその他のSaaS、およびインターネット上のWebサイトに安全に接続する
- Microsoft Entra Private Access(MEPA)
- 社外にあるデバイスから社内のリソースに安全に接続する
本記事では、Global Secure Accessの機能の一つであるMEPAの概要について紹介いたします。
注:本記事は 2024/5/31 時点までの情報をもとに記載しています。機能拡張や更新により、記載とは異なる動作となる可能性がありますのでご了承ください。
注:2024/05/14時点のパブリックプレビューをもとに記載しておりますのでご注意ください。
概要
MEPAの動作
MEPAではID中心のゼロトラストネットワークアクセス(ZTNA)を使用して、どこからでもユーザーがすべてのプライべートアプリとリソースに安全にアクセスできます。
動作としては、まずはじめにクライアントにダウンロードされているエージェント(GSA Client)がMicrosoft グローバルプライベートWANと同期をして通信を転送します。
その際に条件付きアクセスが適用され、Microsoft グローバルプライベートWANからプライベートネットワークコネクタを経由して該当のアプリケーションにアクセスすることができます。
※GSA ClientはMEIA/MEPA共通のものとなっています。
ZTNA機能
ID 中心のZTNAを使用して、どこにいてもユーザーがプライベートアプリとリソースに安全にアクセスできます。
ZTNA機能の詳細は以下になります。
- 現在はTCPのみ対応
- UDPについても今後利用できるようになり、UDPを利用するクライアントからサーバーへの通信を行うアプリが公開できる
- Application Proxyとは異なり、外部用URLや内部用URL等の設定は不要
- リモートVPNのようにGlobal IPを外部に公開する必要がない
導入条件
管理側
- Microsoft Entra テナント
- ライセンス
- Microsoft Entra ID Premium P1
- 将来的なライセンスについては現状未定(2024/05/31時点)
- ロール
- グローバル管理者
- ライセンス
- プライベートネットワークコネクタ導入用サーバー
- Windows Server 2012 R2 以降を実行しているサーバーが必要
- インターネットへHTTPアウトバウンド接続の許可が必要
- 導入条件の詳細については以下のリンク先を参照
クライアント側
- Windows 10 または Windows 11 が導入されたクライアントPC
- Android、iOS、macOS端末でも利用可能
- iOS、macOS端末についてはプライベートプレビューとなっており、先行アクセスで利用可能
- Android端末の導入条件については以下のリンク先を参照
- Android、iOS、macOS端末でも利用可能
- PCのローカル管理者権限
- Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みデバイス
導入条件の詳細については以下のリンク先をご確認ください。
Windows 用 グローバル セキュア アクセス クライアント (プレビュー) - Global Secure Access | Microsoft Learn
Demo
Demoでは、クライアントPCにインストールされたエージェント(GSA Client)がONの時のみエージェントからコネクタ間が暗号化され、社内リソースに対して プライベートIPアドレスを使ってアクセス(RDP)ができることを確認していきます。
その際に社内リソースへのアクセス時にMFAで許可される点も確認していきます。
Demo環境の準備
Microsoft Azure環境
事前にMEPAの導入条件を満たす以下をMicrosoft Azureで作成しておきます。
- クライアントPC(IPアドレス:10.0.0.4)(Vnet-A)
- プライベートネットワークコネクタ導入用サーバー(IPアドレス:10.11.0.4)(Vnet-B)
- 本来は冗長化 & ロード バランシングのため2 台以上の構成が推奨だが、今回はDemoのため 1 台構成とする
- 社内リソース用サーバー(IPアドレス:10.11.0.5)(Vnet-B)
環境としてはリモート環境とオンプレミスのDC環境を想定しています。リモート環境をVnet-A、オンプレミスのDCをVnet-Bとそれぞれ分けています。
MEPAの設定
下記の手順でMEPAを設定しておきます。
- テナントでGlobal Secure Accessの有効化
- トラフィック転送プロファイルの有効化
- プライベートネットワークコネクタをコネクタ導入用サーバーにインストール
- コネクタグループを作成
- エンタープライズアプリケーションを設定
- クライアントPCにエージェント(GSA Client)をインストール
- 条件付きアクセスを設定
Demoの実施
Demo:エージェントがONの時の動作
1.クライアントPCにRDP接続します。
2.クライアントPCのエージェントが動作していることを確認します。
3.クライアントPC(IPアドレス:10.0.0.4)から社内リソース用サーバーのローカルIPアドレス(10.11.0.5)もしくはホスト名(testuser03.test01.local)でRDP接続をします。
4.MFA認証が要求されます。
5.MFA認証が完了しましたら、ユーザー名とパスワードを入力します。
6.以下のようにローカルIPアドレス(10.11.0.5)もしくはホスト名(testuser03.test01.local)でRDP接続ができたことが確認できます。
7.Microsoft Entra 管理センターのTraffic logsからDestination IP(10.11.0.5)とDestination FQDN(testuser03.test01.local)へのActionがAllowになっていることが確認できます。
Demo:エージェントがOFFの時の動作
1.クライアントPCのタスクトレイからエージェントを右クリックして、「Pause」を選択します。これによりエージェントを停止させることができます。
※エージェントを再開させるには「Resume」「Restart」を押してください。
2.ローカルIPアドレス(10.11.0.5)もしくはホスト名(testuser03.test01.local)でRDP接続を試みると、以下の画面が表示されRDP接続が拒否されて失敗に終わります。エージェントONで接続が許可され、OFFにすると接続ができないことが確認できました。
終わりに
本記事では、Global Secure Accessの概要と展開イメージ:Microsoft Entra Private Access編について解説しました。
MEPAは従来の Application Proxy の弱点であったWebベースのみという制限がなくなるため、VPN廃止や条件付きアクセスをかけてMicrosoft 365と同じセキュリティレベルで社内アプリを利用したいお客様におすすめのサービスとなります。
本サービスは現時点ではまだ公式ドキュメントを除くと情報が少ないため、本記事が導入効果の参考になればと思います。
PR:導入サポート for Microsoft Entra Internet Access / Private Access
JBSではMicrosoft Entra Internet Access / Private Accessについてお客様のニーズに合わせて「PoC」「環境構築」「移行サポート」の 3つのサービスを自由に選択できる導入サポートを提供しております。
不要なコストをかけずにゼロトラストネットワーク環境のスムーズな導入・構築・展開をサポートいたします。
詳細については、以下のリンクをご参照ください。
導入サポート for Microsoft Entra Internet Access / Private Access|JBS 日本ビジネスシステムズ株式会社