Microsoft Entra でのグローバル セキュア アクセスについて説明する
グローバル セキュリティで保護されたアクセスは、Microsoft の Security Service Edge (SSE) ソリューションであり、ゼロ トラストの原則に基づいて構築されています。明示的に検証し、最小限の特権を使用し、侵害を想定しています。 Microsoft Entra Internet Access、Microsoft サービス用 Microsoft Entra Internet Access、Microsoft Entra Private Access と Microsoft Defender for Cloud Apps を組み合わせて、ネットワーク、ID、エンドポイントのアクセス制御を集約し、組織が任意の場所、デバイス、または ID から任意のアプリまたはリソースへのアクセスをセキュリティで保護できるようにします。
SSE は、組織が次のようなセキュリティの課題に対処するのに役立ちます。
- 侵害された VPN トンネルを介した横移動のリスクを軽減します。
- インターネット ベースの資産の周囲にセキュリティ境界を配置する。
- ブランチ オフィスなどのリモートの場所でのサービスの改善。
このソリューションでは、エンド ユーザーのコンピューティング デバイスでのネットワーク トラフィックを組織が制御できるようにするグローバル セキュア アクセス クライアントを採用します。 組織は、特定のトラフィック プロファイルをサービスを介してルーティングすることで、条件付きアクセス ポリシーと高度な統合を実現し、ID、デバイス、場所、アプリケーション全体でリアルタイムのリスク評価を実現します。
マイクロソフト エントラ インターネット アクセス
Microsoft Entra Internet Access は、SaaS アプリケーションやその他のインターネット トラフィック用の ID 中心の Secure Web Gateway (SWG) ソリューションを提供します。 セキュリティ制御とトラフィック ログによる可視性を使用して、インターネットベースの脅威からユーザー、デバイス、データを保護します。
主な機能は次のとおりです。
- Web コンテンツ フィルタリング - コンテンツ カテゴリとドメイン名に基づいて Web サイトへのアクセスを規制します。
- ユニバーサル条件付きアクセス - すべてのインターネットの宛先 (Microsoft Entra ID とフェデレーションされていないものも含む) に条件付きアクセス ポリシーを適用します。
- ユニバーサル継続的アクセス評価 (CAE) — アプリと Microsoft Entra は常に通信して、ユーザー アクセスが up-to-date であることを確認します。 ユーザーの場所やセキュリティ上の問題など、何らかの変更が発生した場合、システムはアクセスをほぼリアルタイムで迅速に調整またはブロックできます。
Microsoft Entra Internet Access には、Microsoft Entra Suite ライセンスまたはスタンドアロンの Microsoft Entra Internet Access ライセンスが必要です。
Microsoft サービス用 Microsoft Entra Internet Access
Microsoft Entra Internet Access for Microsoft Services は、サポートされている Microsoft サービスに直接接続することで Microsoft Entra ID 機能を強化し、セキュリティ、パフォーマンス、回復性を向上させます。 Exchange Online、SharePoint Online、Microsoft Teams、およびその他の Microsoft 365 ワークロードを対象とする、事前設定された Microsoft トラフィック転送プロファイルを使用します。
主な機能は次のとおりです。
- 準拠しているネットワーク チェック — 条件付きアクセス ポリシーを使用して、ユーザーが Microsoft Entra ID 統合アプリケーションにアクセスする前にグローバル セキュア アクセス経由で接続することを要求し、認証プレーンとデータ プレーンの両方でトークンの盗難から保護します。
- ユニバーサル テナントの制限 - 匿名アクセスを含む、承認されていない外部テナントまたは個人アカウントへのデータ流出を防止します。
- ソース IP 復元- Microsoft Entra ID サインイン ログの元のユーザー IP アドレスを復元し、トラフィックが SSE プロキシを通過しても、場所ベースの条件付きアクセス ポリシーとリスク検出が正確なままになるようにします。
- 強化された Microsoft 365 ログ- 適用されたポリシーの詳細など、Microsoft トラフィックの詳細なネットワーク トラフィック ログを提供します。
Microsoft Entra Internet Access for Microsoft Services は、Microsoft Entra ID P1 または P2 ライセンスに含まれており、幅広い組織で利用できます。
Microsoft Entra プライベート アクセス
Microsoft Entra Private Access は、オフィスでもリモートでも、プライベートな企業リソースへのセキュリティで保護されたアクセスをユーザーに提供します。 従来の VPN は、広範なネットワーク レベルの接続ではなく、アプリごとのアクセスを許可するゼロ トラスト ネットワーク アクセス (ZTNA) アプローチに置き換えられます。
プライベート アクセスは、プライベート リソースのコンテナーとして機能するエンタープライズ アプリケーションを作成することによって機能します。 ネットワーク コネクタは、ユーザーがアクセスするサービスとリソースの間のトラフィックを仲介します。 組織は、次の 2 つの方法でアクセスを構成できます。
クイック アクセス - 管理者は、完全修飾ドメイン名 (FQDN)、IP アドレス、または IP 範囲とポートによってプライベート リソースを定義し、リンクされた条件付きアクセス ポリシーを持つ単一のアプリケーションにグループ化します。
アプリごとのアクセス (グローバル なセキュリティで保護されたアクセス アプリ) - 各エンタープライズ アプリケーションに独自のリソース定義、ユーザー割り当て、条件付きアクセス ポリシーを用意し、さまざまなリソース グループに対して異なるポリシーを有効にする、より詳細なアプローチを提供します。
Global Secure Access ダッシュボード
グローバル セキュリティで保護されたアクセスには、サービスによって取得されたネットワーク トラフィックの視覚化を提供する Microsoft Entra 管理センターのダッシュボードが含まれています。 管理者は、ユーザー、デバイス、テナント間アクセス、Web カテゴリのフィルター処理、デバイスの状態を監視して、疑わしいアクティビティを特定し、ネットワーク構成を改善できます。
ネットワーク制御による AI ワークロードのセキュリティ保護
組織がクラウドとオンプレミスの両方のリソースに接続する AI サービスをデプロイする場合、Global Secure Access は、これらのサービスとの間のトラフィックが、他のエンタープライズ トラフィックに適用される同じ ID 対応のセキュリティ制御を確実に通過するのに役立ちます。 グローバルセキュリティで保護されたアクセス トラフィック プロファイルと統合された条件付きアクセス ポリシーでは、準拠したネットワーク チェックを適用し、ユーザー リスク、デバイスの状態、場所に基づいてアクセスを制限できます。ゼロ トラストの原則は、企業の機密データにアクセスする AI ワークロードにまで拡張されます。