今回は、2023年7月19日(英語版は7月11日)に以下のJapan Azure Identity Support Blogで紹介されましたMicrosoft Entraの新しい機能であるSecurity Service Edge (SSE)ソリューションの内、Microsoft Entra Internet Accessについて仕様を確認していきます。また、実際に機能を有効化して動作確認を実施していきたいと思います。
Microsoft Entra – Security Service Edge へ拡大するための新機能
Microsoft Entraとは
本題に入る前に、Microsoft Entraについて簡単ですが触れたいと思います。
Microsoft Entraは、マルチクラウドのID管理やアプリおよびリソースへのネットワークアクセスをセキュリティで保護するためのサービス群になります。大きく3つの製品グループ「IDおよびアクセス管理」「新しいIDカテゴリ」「ネットワークアクセス」に分かれております。代表的なところですと「IDおよびアクセス管理」の中にMicrosoft Entra ID(旧Azure Active Directory)が位置しております。
管理者向けに「Microsoft Entra 管理センター」と呼ばれるWebコンソールが提供されており、各サービスの設定を一元的に管理することが可能になっています。以下はMicrosoft Entra管理センターの画面イメージです。
各製品グループに含まれるサービスの説明については、本投稿では割愛させていただきます。詳細に知りたい方は、以下のMicrosoft公式ドキュメントをご参照ください。
Microsoft Entra Internet Accessとは
Microsoft Entra Internet Accessは、Microsoft Entra製品グループの「ネットワークアクセス」に位置しており、IDを中心としたSecure Web Gateway (SWG) ソリューションに相当します。エンドユーザーデバイスからMicrosoft Entra Internet Accessを経由してMicrosoft 365、SaaS、パブリックインターネットアプリ等へアクセスすることで、悪意のある接続やインターネットの脅威から保護を行うことができます。
2023年7月26日時点において、Microsoft 365へのアクセス機能がパブリックプレビューとして利用することが可能になっております。その他パブリックインターネットアプリへのアクセス機能はプライベートプレビュー(試用申請しても以下の画面が表示されて申請不可でした)であり、2023年後半に公開予定となっております。
なお、「ネットワークアクセス」の製品グループには、ゼロトラストネットワークアクセス(ZTNA)ソリューションに相当し、VPNを必要とせず組織の内部リソースへのアクセスをセキュリティで保護するMicrosoft Entra Private Accessというサービスもございます。
Microsoft Entra Internet AccessとMicrosoft Entra Private Accessを合わせた統一用語としてGlobal Secure Accessと呼ばれます。
セキュリティで保護されたグローバル アクセス (プレビュー) とは
利用するための前提条件
現在、Microsoft Entra Internet Access(プレビュー)を利用するには、Microsoft Entra ID Premium P1(旧Azure Active Directory Premium P1)ライセンスが必要です。Microsoft 365へのアクセス機能であるMicrosoft 365 トラフィック転送プロファイルを有効にする際は、Microsoft 365 E3ライセンスの使用が推奨されています。
※一般提供後は、異なるライセンスが必要になる場合があるとのことです。詳細は以下のMicrosoft公式ドキュメントをご参照ください。
接続方法
エンドユーザーデバイスからMicrosoft Entra Internet Accessに接続する方法について説明します。以下の2つの方法がございます。
- Global Secure Access Clientをエンドユーザーデバイスにインストールする
- リモートネットワークとして組織のオフィスなどを登録する
それぞれの方法には前提条件や制限事項があります、一部分ですが気になった点について説明させて頂きます。
まず、Global Secure Access Clientは、64 ビット バージョンのWindows 11またはWindows 10のみサポートになります。また、Azure AD 参加済みまたはハイブリッド Azure AD 参加済みである必要があり、Azure AD 登録済みデバイスの場合はサポートされておりません。そのため、MacやiOS等のデバイスであったり、BYODデバイスでは現時点で利用することができません。
続いて、リモートネットワークは、自前でネットワーク機器を用意する必要があり、IPSec(IKEv2)やBGPによる接続設定が必要になります。冗長構成なども考慮した場合、導入コストがそれなりにかかるのではと考えられます。また、Microsoft 365 トラフィック転送プロファイル向けの条件付きアクセスポリシーを適用させたい場合は、結局Global Secure Access Clientをエンドユーザーデバイスにインストールする必要がございます。
上記以外にも制限事項が複数ございますので、詳細は以下のMicrosoft公式ドキュメントをご参照ください。
Windows 用グローバル セキュリティで保護されたアクセス クライアント (プレビュー)
本投稿では、Global Secure Access Clientをインストールする方法で環境を用意して動作確認していきます。
ポイント・オブ・プレゼンス (POP)
Microsoft Entra Internet Access経由でアクセスする場合、限られたPOPを経由してアプリやサービスへアクセスを行います。現時点において、残念ながら日本はサポートされておらず、国内から使用する場合はレスポンス速度が低下する可能性が考えられます。
詳細なサポートされている場所については、以下のMicrosoft公式ドキュメントをご参照ください。
グローバル セキュリティで保護されたアクセス (プレビュー) のプレゼンス ポイント
主要な機能
Microsoft Entra Internet Accessの主要な機能の内、パブリックプレビューであるMicrosoft 365へのアクセス機能についてMicrosoft公式ドキュメントを引用してご紹介します。(日本語翻訳しているため、少々読みづらいかもしれません)
- 機能1:条件付きアクセスの準拠しているネットワーク チェックを使用して、盗まれたトークンの再生を防止します。
- 機能2:ユニバーサル テナント制限を適用して、匿名アクセスを含む他のテナントまたは個人アカウントへのデータ流出を防止します。
- 機能3:SharePoint Online トラフィックで現在サポートされているネットワークとデバイスのシグナルを含むエンリッチされたログ。
- 機能4:ユーザー、場所、デバイスのリスク評価の精度が向上します。
- 機能5:サード パーティの SSE ソリューションと並行してデプロイします。
- 機能6:デスクトップ クライアントまたはブランチの場所などのリモート ネットワークからネットワーク トラフィックを取得します。
簡単ですが、機能1、2、6について説明させて頂きます。(※こちらの部分は個人的な見解も含まれます)
まず機能1について、Microsoft 365へのアクセス機能を有効化(※対象手順は、有効化の章で解説します)すると、準拠しているネットワーク「All Compliant Network locations」というネームドロケーションが自動で生成されます。こちらを条件付きアクセスポリシーで指定することで、Microsoft Entra Internet Accessを経由したMicrosoft 365へのアクセスに対してきめ細かくアクセス制御を行うことが可能になります。Microsoft Entra Internet Accessを経由しないアクセスの場合はブロックするといった制御もできるため、セッション トークンが盗まれたとしても再利用を抑止することが可能になります。
続いて機能2について、Microsoft 365へのアクセス機能を有効化(※対象手順は、有効化の章で解説します)すると、テナント制限v2の機能を強化することができます。具体的には、テナント制限v1(プロキシサーバーの導入が必要)やテナント制限v2(グループポリシーやWindowsファイアフォール設定が必要)のような複雑な管理が不要になります。また、これまでは制御することができなかった認識なのですが、IDとパスワードの入力を求めない匿名アクセスについても制限することが可能になるとのことです。
参考程度ですが、テナント制限とは、組織内のユーザーが個人で契約しているような外部アカウントを使って社内ネットワークまたはデバイスからサインインを試みた際にアクセスを制限するための機能です。詳細に知りたい方は、以下のMicrosoft公式ドキュメントをご参照ください。
最後に機能6について、Microsoft Entra Internet Accessを経由してMicrosoft 365へアクセスしたトラフィックのログをMicrosoft Entra 管理センター上で表示することができます。誰がどのリソースにアクセスしているのか、どこからアクセスしているのか、どのようなアクションが行われたのかについての分析情報を確認することが可能になります。
本投稿では、上記で説明した機能について実際に動作確認して見ていきたいと思います。
Microsoft Entra Internet Access(Microsoft 365)の有効化
それでは、Microsoft Entra Internet Accessの内、Microsoft 365へのアクセス機能を有効化していきます。具体的には以下のMicrosoft 公式ドキュメントを参考に4つの手順を実施します。
クライアントをインストールして Microsoft 365 トラフィックにアクセスする
- Microsoft 365 トラフィック転送プロファイルを有効にする
- エンドユーザーデバイスにGlobal Secure Access Clientをインストールする
- ユニバーサルテナントの制限を有効にする
- 条件付きアクセスでGlobal Secure Access signalingを有効にする
手順1:Microsoft 365 トラフィック転送プロファイルを有効にする
まず、Global Secure Access自体を有効にしていない場合は以下のGet Started画面にて、2. Activate Global Secure Access in your tenantの「Activate」をクリックします。
対象箇所:Microsoft Entra管理センター>セキュリティで保護されたグローバルアクセス(プレビュー)>作業の開始
続けて、Microsoft 365 トラフィック転送プロファイルを有効にしていきます。Traffic forwarding画面にて、Microsoft 365 profileにチェックを入れます。
対象箇所:Microsoft Entra管理センター>セキュリティで保護されたグローバルアクセス(プレビュー)>接続>トラフィック転送
Are you sure you want to proceed?と画面に表示されますので「はい」を選択します。
有効化が完了したら、Microsoft 365 トラフィック転送プロファイルのポリシーを設定することが可能になります。Microsoft 365 traffic policiesメニューのViewをクリックすると、右側にポリシー画面が表示されます。
現時点において、Exchange OnlineとSharePoint Online and OneDrive for BusinessとMicrosoft 365 Common and Office Onlineの3つのポリシーが存在しております。以下の様に詳細表示をすることが可能であり、各項目ごとにMicrosoft Entra Internet Access経由にするかバイパスするかを設定することが可能です。
なお、残念ながら、現在のところTeams は Microsoft 365 共通エンドポイントの一部としてサポートされていないようです。以下のMicrosoft公式ドキュメントに制限事項として記載されております。
Microsoft 365 トラフィック転送プロファイルを有効にして管理する方法
本投稿では、すべてMicrosoft Entra Internet Access経由にする設定(デフォルト値)で進めていきます。
手順1の最後に、Microsoft 365 トラフィック転送プロファイル向けの条件付きアクセスポリシーを作成します。ターゲットリソースに対して、以下画像のように「Microsoft 365トラフィック」を指定します。今回はテストアカウントを割り当てて、アクセス権を付与する条件として「多要素認証を要求する」「デバイスは準拠としてマーク済みである必要があります」を選択しました。
対象箇所:Microsoft Entra管理センター>保護>条件付きアクセス>ポリシー>新しいポリシー
Microsoft 365 トラフィック転送プロファイル向けの条件付きアクセスポリシーを設定したら、Traffic forwarding画面のLinked Conditional Access policiesメニューのViewをクリックして確認することが可能になります。
手順2:エンドユーザーデバイスにGlobal Secure Access Clientをインストールする
Microsoft Entra管理センターよりエンドユーザーデバイスにGlobal Secure Access Clientをダウンロードします。
対象箇所:Microsoft Entra管理センター>セキュリティで保護されたグローバルアクセス(プレビュー)>デバイス>クライアント
「GlobalSecureAccessClient.exe」というファイルがダウンロードされますので、ファイルを実行してインストールを開始します(デバイスの管理者権限が必要です)。以下画面が表示されたら「Install」をクリックします。
以下の画面が表示されたらインストール完了です。
Global Secure Access Clientへのサインインが求められますので認証を行います。タスクバーの隠れているインジケーターを表示すると以下の様なアイコンが追加されています。
Global Secure Access Clientアイコンをダブルクリックし、以下画像の様にステータスがConnectedになっていれば、正常に接続できている状態です。
手順3:ユニバーサルテナントの制限を有効にする
こちらの手順が、主要な機能で説明しました機能2を制御する設定になります。
まずは、テナント制限v2ポリシーを設定します。今回はすべての外部のユーザーとグループを「アクセスのブロック」に設定します。
対象箇所:Microsoft Entra管理センター>ID>External Identities>クロステナントアクセス設定>既定の設定>テナント制限(プレビュー)
また、既定の設定(送信アクセスの設定)のB2Bコラボレーションについて、「すべて許可」⇒「テストアカウントのみアクセスのブロック」に設定を変更しました。(こちらの制御により、組織内のユーザーが外部のAzure AD組織に招待されてゲストとして追加されることを制限できます。)
対象箇所:Microsoft Entra管理センター>ID>External Identities>クロステナントアクセス設定>既定の設定>送信アクセスの設定>B2Bコラボレーション
テナント制限v2ポリシーの設定が完了したら、ユニバーサルテナント制限を有効にします。Session Management画面のTenant Restrictionsタブにて「Enable tagging to enforce tenant restrictions on your network」を有効に変更します。
対象箇所:Microsoft Entra管理センター>セキュリティで保護されたグローバルアクセス(プレビュー)>グローバル設定>セッション管理
手順4:条件付きアクセスでGlobal Secure Access signalingを有効にする
こちらの手順が、主要な機能で説明しました機能1を制御する設定になります。
条件付きアクセスでGlobal Secure Access signalingを有効にするための設定を行います。Session Management画面のAdaptive Accessタブにて「Enable Global Secure Access signaling in Conditional Access」を有効に変更します。
対象箇所:Microsoft Entra管理センター>セキュリティで保護されたグローバルアクセス(プレビュー)>グローバル設定>セッション管理
なお、こちらの設定はソース IP の復元を行う機能でもあり、有効にすることでMicrosoft Entra Internet Access経由のアクセスであってもエンドユーザーのアクセス元IPアドレスをサインインログ等で表示することが可能になります。
本設定を有効に変更したら、ネームドロケーションに準拠しているネットワーク「All Compliant Network locations」が自動で生成されたことを確認します。
Microsoft Graphを使用して自動的に作成されたことを確認することも可能です。
最後に、Microsoft Entra Internet Accessを経由しないアクセスをブロックする条件付きアクセスポリシーを作成します。割り当て条件の場所に対して、以下画像の様に「All Compliant Network locations」を対象外にして、アクセス制御はブロックするように設定します。今回はテストアカウントを割り当てて、ターゲットリソースは「Office 365アプリ」を選択しました。
以上で、有効化の手順は完了です。
Microsoft Entra Internet Access(Microsoft 365)の動作確認
Microsoft 365へのアクセス機能の有効化が完了しましたので、Microsoft Entra Internet Accessの動作確認を実施していきたいと思います。
Microsoft Entra Internet Access経由の条件付きアクセスの動作確認
今回は、Global Secure Access Clientを有効にした場合と停止にした場合で挙動を確認していきます。
まずGlobal Secure Access Clientを有効にした場合は、想定通りMicrosoft 365サービスへアクセスすることが可能でした。Teamsは対応していないといった記載がありましたが、Microsoft Entraでの認証は問題なくクリアできておりました。
続いてGlobal Secure Access Clientを停止に変更して挙動を確認します。まず、新しいサービス(今回はSharePoint Online)へアクセスを試みた際は以下画像のエラーが表示してアクセスできなくなったことを確認しました。
しかし、既にログイン済みであったOutlookやTeamsは引き続き利用することができました。こちらは、継続的アクセス評価が準拠しているネットワーク チェックではサポートされていないらしく、アクセストークンの有効期間(既定では1時間)が切れるまでは使えるのかなと思います。
条件付きアクセスで準拠しているネットワーク チェックを有効にする
サインインログを確認しますと、SharePoint Onlineへアクセス失敗したログが出力されており、Microsoft Entra Internet Accessを経由しないアクセスをブロックするポリシーに抵触していることを確認できました。
ユニバーサルテナントの制限の動作確認
今回は、別のMicrosoft 365テナントで匿名のアクセスを許可したSharePoint Onlineの共有フォルダを用意してアクセスできるかどうか確認します。
まずは、Global Secure Access Clientを停止した状態で挙動を確認します。IDおよびパスワードの入力を求められずにアクセスできることを確認しました。
続いてGlobal Secure Access Clientを有効に変更して挙動を確認します。停止した状態とは挙動が異なり、アクセス時にMicrosoft認証が求められるようになりました。IDとパスワードを入力したところ、以下画像のエラーが表示してアクセスできなくなったことを確認しました。
サインインログを確認しますと、以下のアクセス失敗したログが出力されていることを確認できました。
トラフィックログの確認
Microsoft Entra Internet Accessを経由してMicrosoft 365へアクセスしたトラフィックのログを確認します。
「Microsoft Entra管理センター>セキュリティで保護されたグローバルアクセス(プレビュー)>モニター>トラフィックログ」の画面を表示します。以下画像は、アクティビティの詳細を表示した一例になります。Microsoft 365へアクセスした際の様々な情報が取得されていることを確認できました。
さいごに
いかがでしょうか?今回は、Microsoft Entraの新しい機能であるMicrosoft Entra Internet Accessについて取り上げさせて頂きました。まだ、プレビューの機能であり制限事項も多くありますが、以前から認証基盤とSWGが連携できれば良いな~と思っていましたので、個人的にはとても魅力あるサービスだと考えております。今後のアップデートに期待したいと思います。
また、Microsoft Entra Private Accessについても近々確認していきたいと思います。
参考リンク
- Microsoft Entra – Security Service Edge へ拡大するための新機能
- Microsoft Entra
- セキュリティで保護されたグローバル アクセス (プレビュー) とは
- 前提条件
- Windows 用グローバル セキュリティで保護されたアクセス クライアント (プレビュー)
- リモート ネットワークを作成する方法
- グローバル セキュリティで保護されたアクセス (プレビュー) のプレゼンス ポイント
- 主要な機能
- テナントへのアクセスを制限する
- テナント制限 V2 を設定する (プレビュー)
- クライアントをインストールして Microsoft 365 トラフィックにアクセスする
- Microsoft 365 トラフィック転送プロファイルを有効にして管理する方法
- 条件付きアクセスで準拠しているネットワーク チェックを有効にする
