概要
グローバル セキュリティで保護されたアクセスでは、2 つの接続オプションがサポートされています。エンド ユーザー デバイスへのクライアントのインストールと、物理ルーターを使用したブランチの場所などのリモート ネットワークの構成です。 リモート ネットワーク接続により、Global Secure Access クライアントをインストールすることなく、エンド ユーザーとゲストによるリモート ネットワークからの接続方法を効率化できます。
この記事では、リモート ネットワーク接続の主要な概念と、それが役立つ一般的なシナリオについて説明します。
リモート ネットワークとは
リモート ネットワークとは、インターネット接続を必要とするリモートの場所またはネットワークです。 たとえば、多くの組織には、地理的に異なる場所に中央の本社とブランチ オフィスの場所があります。 これらのブランチ オフィスでは、会社のデータとサービスにアクセスする必要があります。 データ センター、本社、リモート ワーカーと安全に通信する方法が必要です。 リモート ネットワークのセキュリティは、多くの種類の組織にとって不可欠です。
通常は、ブランチの場所などのリモート ネットワークを、専用のワイド エリア ネットワーク (WAN) または仮想プライベート ネットワーク (VPN) 接続を介して企業ネットワークに接続します。 ブランチロケーションの従業員は、顧客のオンプレミス機器 (CPE) を使用してネットワークに接続します。
リモート ネットワーク セキュリティの現在の課題
帯域幅の要件が増えています 。 インターネット アクセスを必要とするデバイスの数が指数関数的に増加しています。 従来のネットワークはスケーリングが困難です。 Microsoft 365のようなサービスとしてのソフトウェア (SaaS) アプリケーションの出現に伴い、ワイド エリア ネットワーク (WAN) やマルチプロトコル ラベル スイッチング (MPLS) などの従来のテクノロジが苦労する低遅延でジッターのない通信に対する需要がますます高まっています。
IT チームはコストがかかります 。通常、オンプレミスの物理デバイスにファイアウォールを配置します。これには、セットアップとメンテナンスのために IT チームが必要です。 すべてのブランチの場所で IT チームを維持するには、コストがかかります。
進化する脅威 – 悪意のあるアクターは、ネットワークの端でデバイスを攻撃するための新しい手段を見つけ続けます。 多くの場合、ブランチ オフィスやホーム オフィスのエッジ デバイスは、最も脆弱な攻撃対象となります。
ヒント
リモート ネットワークの回復性の強化に関するガイダンスについては、「 グローバル セキュリティで保護されたアクセスのリモート ネットワークの回復性のベスト プラクティス」を参照してください。
Global Secure Access のリモート ネットワーク接続のしくみ
リモート ネットワークをグローバル セキュア アクセスに接続するには、オンプレミスの機器とグローバル セキュア アクセス エンドポイントの間にインターネット プロトコル セキュリティ (IPsec) トンネルを設定します。 IPsec トンネル経由で指定したトラフィックを、最も近いグローバル セキュア アクセス エンドポイントにルーティングします。 Microsoft Entra 管理センターでセキュリティ ポリシーを適用できます。
Global Secure Access のリモート ネットワーク接続では、リモート ネットワークと Global Secure Access サービスの間に安全なソリューションを提供します。 リモート ネットワーク間の安全な接続は提供されません。 セキュリティで保護されたリモート ネットワーク間ネットワーク接続の詳細については、Azure Virtual WAN ドキュメントを参照してください。
サポートされているトラフィック転送プロファイル
リモート ネットワークでは、トラフィックを取得するためのさまざまなトラフィック転送プロファイルがサポートされています。 トラフィック転送プロファイルは、グローバル セキュア アクセス経由でルーティングされるトラフィックを制御します。 ベースライン プロファイルなどのセキュリティ プロファイルは、その取得したトラフィックに適用されるポリシーを制御します。
| トラフィック転送プロファイル | グローバル セキュア アクセス クライアント | リモート ネットワーク |
|---|---|---|
| Microsoft トラフィック | ✅ サポートされています | ✅ サポートされています |
| インターネット アクセス | ✅ サポートされています | ✅ サポートされています |
| プライベート アクセス | ✅ サポートされています | ❌ サポートされていません |
Important
Microsoft トラフィックおよびInternet Access トラフィック転送プロファイルをリモート ネットワークに割り当てることができます。 プライベート アクセス トラフィック転送プロファイルには、グローバル セキュア アクセス クライアントがエンド ユーザー デバイスにインストールされている必要があります。 詳細については、「 トラフィック プロファイルをリモート ネットワークに割り当てる 」および「 トラフィック転送プロファイルについて」を参照してください。
転送プロファイルを介してトラフィックを取得した後、セキュリティ プロファイルを使用してセキュリティ ポリシーを適用します。 ベースライン セキュリティ プロファイルは、リモート ネットワーク トラフィックを含め、グローバル セキュア アクセス経由でルーティングされるすべてのトラフィックに対して、テナント レベルでポリシーを適用します。 条件付きアクセス ポリシーにリンクされているユーザー対応のセキュリティ プロファイルには、グローバル セキュリティで保護されたアクセス クライアントが必要です。
リモート ネットワーク デバイス リンクでのトラフィック プロファイルの適用
グローバル セキュア アクセスでは、リモート ネットワークに関連付けられているすべてのデバイス リンク (IPsec トンネルなど) にトラフィック転送プロファイルが適用されます。 有効で関連付けられているトラフィック転送プロファイルに一致するトラフィックの種類のみが転送されます。 グローバル セキュリティで保護されたアクセス ゲートウェイは、他のすべてのトラフィックを削除します。
この強制は、次のことを意味します。
- Microsoft トラフィック プロファイルのみをリモート ネットワークに関連付ける場合、グローバル セキュア アクセス ゲートウェイは、デバイス リンク経由で送信されたMicrosoft以外のトラフィック (一般的なインターネット トラフィックなど) を削除します。
- Internet Access トラフィック プロファイルのみをリモート ネットワークに関連付ける場合、グローバル セキュア アクセス ゲートウェイは、デバイス リンク経由で送信されたすべてのMicrosoftトラフィックを削除します。
Important
意図しないトラフィック損失を回避するには、ライセンスが許可されている場合、Microsoft トラフィック プロファイルとインターネット アクセス トラフィック プロファイルの両方をリモート ネットワークに関連付けます。 この構成により、ゲートウェイにサイレント ドロップするのではなく、IPsec トンネル経由で転送されるすべてのトラフィックが適切なプロファイルによって処理されます。
使用可能なトラフィック転送プロファイルとその構成の詳細については、「 グローバルなセキュリティで保護されたアクセストラフィック転送プロファイル」を参照してください。
リモート ネットワーク接続が重要なのはなぜですか?
リモート ワークと分散したチームの世界では、企業ネットワークのセキュリティの維持がますます困難になっています。 Security Service Edge (SSE) は、顧客が本社へのトラフィックをバックホールすることなく、世界中のどこからでも企業リソースにアクセスできるセキュリティの世界を約束します。
一般的なリモート ネットワーク接続のシナリオ
オンプレミスの何千ものデバイスにクライアントをインストールしたくない。
一般に、デバイスにクライアントをインストールして SSE を適用します。 クライアントは、最も近い SSE エンドポイントへのトンネルを作成し、それを介してすべてのインターネット トラフィックをルーティングします。 SSE ソリューションはトラフィックを検査し、セキュリティ ポリシーを適用します。 ユーザーがモバイルではなく、物理的なブランチの場所に基づいている場合、そのブランチの場所に対するリモート ネットワーク接続によって、すべてのデバイスにクライアントをインストールする作業が不要になります。 ブランチ オフィスのコア ルーターと Global Secure Access エンドポイントの間に IPSec トンネルを作成すると、ブランチの場所全体を接続できます。
組織が所有しているすべてのデバイスにクライアントをインストールすることはできない
場合によっては、すべてのデバイスにクライアントをインストールできない場合があります。 グローバル セキュア アクセスは現在、Windows、macOS、Android、iOS 用のクライアントを提供しています。 しかし、オンプレミスでインターネットにトラフィックを送信する Linux、メインフレーム、カメラ、プリンター、その他の種類のデバイスはどうでしょうか。 このトラフィックを監視してセキュリティで保護する必要があります。 リモート ネットワークを接続する場合は、送信元のデバイスに関係なく、その場所からのすべてのトラフィックに対してポリシーを設定できます。
クライアントがインストールされていないゲストがネットワーク上にある
ネットワーク上のゲスト デバイスにクライアントがインストールされていない場合があります。 これらのデバイスをネットワーク セキュリティ ポリシーに確実に準拠させるには、トラフィックを Global Secure Access エンドポイント経由でルーティングさせる必要があります。 この問題は、リモート ネットワーク接続によって解決されます。 クライアントをゲスト デバイスにインストールする必要はありません。 リモート ネットワークからの送信トラフィックはすべて、既定でセキュリティ評価を通過します。
各テナントの帯域幅の割り当ては何ですか?
購入するライセンスの数によって、帯域幅の割り当ての合計が決まります。 各Microsoft Entra ID P1 ライセンス、Microsoft Entra Internet Access ライセンス、Microsoft Entra スイート ライセンスは、合計帯域幅に追加されます。 リモート ネットワークの帯域幅は、250 Mbps、500 Mbps、750 Mbps、または 1,000 Mbps の増分で IPsec トンネルに割り当てることができます。 この柔軟性により、特定のニーズに基づいて異なるリモート ネットワークの場所に帯域幅を割り当てることができます。 最適なパフォーマンスを得るためのMicrosoftでは、高可用性のために、場所ごとに少なくとも 2 つの IPsec トンネルを構成することをお勧めします。 次の表は、購入したライセンス数に基づく合計帯域幅を示しています。
初期帯域幅の割り当て
| ライセンス数 | 合計帯域幅 (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1,000 Mbps |
| 500 – 999 | 2,000 Mbps |
| 1,000 – 1,499 | 3,500 Mbps |
| 1,500 – 1,999 | 4,000 Mbps |
| 2,000 – 2,499 | 4,500 Mbps |
| 2,500 – 2,999 | 5,000 Mbps |
| 3,000 – 3,499 | 5,500 Mbps |
| 3,500 – 3,999 | 6,000 Mbps |
| 4,000 – 4,499 | 6,500 Mbps |
| 4,500 – 4,999 | 7,000 Mbps |
| 5,000 – 5,499 | 10,000 Mbps |
| 5,500 – 5,999 | 10,500 Mbps |
| 6,000 – 6,499 | 11,000 Mbps |
| 6,500 – 6,999 | 11,500 Mbps |
| 7,000 – 7,499 | 12,000 Mbps |
| 7,500 – 7,999 | 12,500 Mbps |
| 8,000 – 8,499 | 13,000 Mbps |
| 8,500 – 8,999 | 13,500 Mbps |
| 9,000 – 9,499 | 14,000 Mbps |
| 9,500 – 9,999 | 14,500 Mbps |
| 1万以上 | 35,000 Mbps + |
表の注記
- リモート ネットワーク接続機能を使用するには、少なくとも 50 個のライセンスが必要です。
- ライセンスの数は、購入したライセンスの合計数です (Microsoft Entra ID P1 + Microsoft Entra Internet Access/Microsoft Entra スイート)。 10,000 ライセンスを超える場合、購入した 500 ライセンスごとに 500 Mbps が追加されます (たとえば、11,000 ライセンス = 36,000 Mbps)。
- 10,000 ライセンスを超える組織は、多くの場合、エンタープライズ規模で動作し、より堅牢なインフラストラクチャを必要とします。 35,000 Mbps へのジャンプにより、このようなデプロイの要求を満たす十分な容量が確保され、より高いトラフィック 量がサポートされ、必要に応じて帯域幅の割り当てを柔軟に拡張できます。
- より多くの帯域幅が必要な場合は、リモート ネットワーク帯域幅 SKU を使用して 500 Mbps 単位で追加の帯域幅を購入できます。
テナントごとの割り当て帯域幅の例
テナント 1:
- 1,000 Microsoft Entra ID P1 ライセンス
- 割り当て済み: 1,000 ライセンス、3,500 Mbps
テナント 2:
- 3,000 の Microsoft Entra ID P1 ライセンス
- 3,000 個のインターネット アクセス ライセンス
- 割り当て済み: 6,000 ライセンス、11,000 Mbps
テナント 3:
- 8,000 Microsoft Entra ID P1 ライセンス
- Microsoft Entra スイート ライセンス数 6,000
- 割り当て済み: 14,000 ライセンス、39,000 Mbps
リモート ネットワークの帯域幅分散の例
テナント 1:
合計帯域幅: 3,500 Mbps
割り当て:
- サイト A: 2 つの IPsec トンネル:2 x 250 Mbps = 500 Mbps
- サイト B: 2 IPsec トンネル: 2 x 250 Mbps = 500 Mbps
- サイト C: 2 IPsec トンネル: 2 x 500 Mbps = 1,000 Mbps
- サイト D: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
残りの帯域幅: なし
テナント 2:
合計帯域幅: 11,000 Mbps
割り当て:
- サイト A: 2 つの IPsec トンネル:2 x 250 Mbps = 500 Mbps
- サイト B: 2 IPsec トンネル: 2 x 500 Mbps = 1,000 Mbps
- サイト C: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
- サイト D: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
- サイト E: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
残りの帯域幅: 4,000 Mbps
テナント 3:
合計帯域幅: 39,000 Mbps
割り当て:
- サイト A: 2 つの IPsec トンネル:2 x 250 Mbps = 500 Mbps
- サイト B: 2 IPsec トンネル: 2 x 500 Mbps = 1,000 Mbps
- サイト C: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
- サイト D: 2 IPsec トンネル: 2 x 750 Mbps = 1,500 Mbps
- サイト E: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
- サイトF:2つのIPsecトンネル:2 × 1,000 Mbps = 2,000 Mbps
- サイト G: 2 IPsec トンネル: 2 x 1,000 Mbps = 2,000 Mbps
残りの帯域幅: 28,500 Mbps