Microsoft Entra Private Accessについて調べてみました！

今回は、Microsoft Entraの新しい機能であるSecurity Service Edge (以下、SSE)ソリューションの内、「Microsoft Entra Private Access（以下、Entra Private Access）」について仕様を確認していきます。また、実際に機能を有効化して動作確認を実施していきたいと思います。

もう一つのSSEソリューション機能「Microsoft Entra Internet Access」については、過去に以下の記事を記載していますので、ご興味があれば合わせてご覧になってください。

Entra Private Accessとは
Entra Private Access（クイックアクセス）の有効化
Entra Private Access（クイックアクセス）の動作確認
1. ポリシー準拠デバイスからのアクセス
2. ポリシー非準拠デバイスからのアクセス
さいごに
参考リンク

Entra Private Accessとは

Entra Private Accessとは、Microsoft Entra 製品グループの「ネットワークアクセス」に位置しており、社内アプリケーションやリソースに対して、ユーザーがどこからでも安全にアクセスできるようにするIDを中心としたZTNA（ゼロトラストネットワークアクセス）サービスです。2023年11月6日時点において、パブリックプレビュー機能として提供されています。

MicrosoftのSSEソリューションの一部として、ゼロトラストの原則に基づいて構築されており、ユーザー、デバイス、場所といった要素を考慮したきめ細かな条件付きアクセスポリシーに基づいて、アプリごとに最小特権のアクセス制御を実施することが可能になります。

オンプレミスまたはクラウドベースのあらゆるアプリケーションへのセキュアなアクセスを可能にして、RDP、SSH、FTPなど、TCPまたはUDPを使用するあらゆるポートやプロトコルで動作します。

従来のリモートアクセス機能であるVPNを必要とせず、VPNの課題である「ネットワーク全体への過剰なアクセス許可」や「運用の複雑さによるコスト増」を改善し、リモートワーク環境で働くユーザーやデバイスをプライベートリソースに最適に接続することが可能になります。

Entra Private Accessの仕様についてより詳細に確認したい方は、以下の Japan Azure Identity Support Blogをご参照ください。

Microsoft Entra Private Access: ID を中心としたゼロトラストネットアークアクセスソリューション

構成方法

Entra Private Accessでは、プライベートリソースを構成する方法として以下の2つ用意されています。

クイックアクセス

1つのエンタープライズアプリケーション（プライベートリソースのコンテナーとして機能する）を作成して、セキュリティで保護したい完全修飾ドメイン名（FQDN）とIPアドレスを登録します。
従来のVPNから、迅速かつ簡単に移行を行いたい場合の構成です。

アプリごとのアクセス

セグメント毎に複数のエンタープライズアプリケーションを作成して、アプリケーション毎に異なる条件付きアクセスポリシーを定義します。
「特定の期間に対してのみセキュリティで保護したい」や「アプリケーション毎に異なるアクセスポリシーを定義したい」など、クイックアクセスよりもきめ細かくアクセス制御したい場合の構成です。

Microsoft Entra Private Access について学習する

前提条件

Entra Private Accessを構成するには、以下が必要です。

Microsoft Entra IDの「Global Secure Access管理者」と「アプリケーション管理者」ロール
プレビューの現時点において、Microsoft Entra ID P1 ライセンス

制限事項

既知の制限事項として以下があります。

「クイックアクセス」と「アプリごとのアクセス」の間で、アプリセグメントの重複は避ける必要がある
IPアドレスによるプライベートリソースを定義する場合、エンドユーザーデバイスのローカルサブネット外のIP範囲のみサポートされる
現時点では、「Global Secure Access Client」をエンドユーザーデバイスへインストールする必要がある（重要：Global Secure Access Clientのインストールに関する制限事項も合わせてご確認ください）

ポイント・オブ・プレゼンス (POP)

Entra Private Access経由のアクセスは、限られたポイント・オブ・プレゼンスに接続を行います。2023年11月6日時点において、残念ながら日本はサポートされていないため、国内から使用する場合はレスポンス速度が低下する可能性が考えられます。

Global Secure Access (プレビュー) のポイントオブプレゼンス

Entra Private Access（クイックアクセス）の有効化

ここからは、Entra Private Accessの内、クイックアクセスを有効化する手順について以下のMicrosoft 公式ドキュメントを参照して確認していきます。

Global Secure Access のクイックアクセスを構成する方法

クイックアクセスの有効化手順

クイックアクセスを有効化する手順の流れは以下の通りです。

アプリケーションプロキシコネクタの構成
コネクタグループの作成
クイックアクセスの構成
ユーザーとグループの割り当て
条件付きアクセスポリシーを構成
Private Access Profileを有効化
Global Secure Access Clientをインストール

今回は、以下の環境を構築していきます。プライベートIPアドレスのみを持つADサーバとWebサーバに対して、規定のコンプライアンスポリシーに準拠しているWindows端末からのみリモートアクセスを許可したいと思います。
※ADサーバとWebサーバ、App Proxy Connector用のWindowsサーバの構築、Microsoft Intune（以下、Intune）のコンプライアンスポリシー設定は割愛します

名称	OS	IPアドレス
App Proxy Connector	Windows Server 2022	10.146.0.46
ADサーバ	Windows Server 2019	10.146.0.33
Webサーバ	Ubuntu 22.04 LTS	10.146.0.45

手順1：アプリケーションプロキシコネクタ構成

アプリケーションプロキシコネクタとは、軽量エージェントでありEntra Private Accessサービスへの送信接続を行うために使用します。外部から接続したいプライベートリソース（今回はADサーバとWebサーバ）へのアクセス権を持つWindowsサーバへインストールする必要があります。

アプリケーションプロキシコネクタ用のWindowsサーバに関する前提条件については、以下のMicrosoft 公式ドキュメントをご参照ください。

Microsoft Entra Private Access 用にアプリプロキシコネクタを構成する方法

アプリケーションプロキシコネクタのダウンロード

まずは、Windowsサーバへサインインを行い、Microsoft Entra 管理センターへアクセスします。
[セキュリティで保護されたグローバルアクセス（プレビュー）] > [接続] > [コネクタ] の画面より、「コネクタサービスのダウンロード」をクリックします。

「規約に同意してダウンロード」をクリックします。

以上で、Windowsサーバへアプリケーションプロキシコネクタのパッケージをダウンロードすることができます。

TLS1.2の有効化

アプリケーションプロキシコネクタをインストールするには、サーバでTLS 1.2が有効になっている必要があります。以下のレジストリキーを設定します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0] "SchUseStrongCrypto"=dword:00000001

以下画像はレジストリエディターの設定画面イメージです。

レジストリキーの設定が完了したらサーバを再起動します。

Microsoft Entra アプリケーションプロキシコネクタを理解する

コネクタのインストール

アプリケーションプロキシコネクタをインストールします。先ほどダウンロードしたパッケージ「AADApplicationProxyConnectorInstaller.exe」をダブルクリックします。

以下画像のウィザードが表示されますので、「I agree to the license terms and conditions」にチェックを入れて「Install」をクリックします。

インストール途中でMicrosoft アカウントのサインインが求められますので、グローバル管理者権限を持つアカウントで認証を行います。

以下画像の「Setup Successful」が表示されたら完了です。「Close」をクリックしてウィザード画面を閉じます。

アプリケーションプロキシコネクタが正しくインストールされたことを確認します。

Microsoft Entra管理センターにて、[セキュリティで保護されたグローバルアクセス（プレビュー）] > [接続] > [コネクタ] の画面を参照します。
以下画像のように、インストールしたサーバが表示されます。

Windowsサーバ上でインストールを確認する場合は、Windows キーを選択して「services.msc」と入力してWindows サービスマネージャーを起動します。
以下画像のように「Microsoft AAD Application Proxy Connector」と「Microsoft AAD Application Proxy Connector Updater」が実行中であることを確認します。

以上で、アプリケーションプロキシコネクタの構成は完了です。

手順2：コネクタグループ作成

クイックアクセスを構成するには、1つ以上のアクティブなアプリケーションプロキシコネクタを含むコネクタグループを作成する必要があります。

Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス（プレビュー）] > [接続] > [コネクタ] 画面にて、「新しいコネクタグループ」をクリックします。

任意の名前を入力し、登録したコネクタを選択して「作成」をクリックします。

以下画像のように、作成したコネクタグループが表示されます。

以上で、コネクタグループの作成は完了です。

手順3：クイックアクセス構成

コネクタグループを作成したら、クイックアクセスの構成を行います。

Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス（プレビュー）] > [アプリケーション] > [クリックアクセス] 画面を表示します。
「名前」「コネクタグループ」「対象のプライベートリソース」を設定します。今回は、以下画像のようにADサーバとWebサーバのIPアドレスおよびポート番号を追加しました。

以上で、クイックアクセスの構成は完了です。

手順4：ユーザーとグループの割り当て

クイックアクセスを構成したら、指定した名前（今回はQuickAccess）のエンタープライズアプリケーションが自動で作成されます。アプリへのアクセス権を付与するために、対象のユーザーとグループの割り当てを行う必要があります。

Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス（プレビュー）] > [アプリケーション] > [クリックアクセス]画面の「アプリケーション設定を編集する」をクリックします。

「ユーザーとグループ」画面を表示して、アクセスを許可したいユーザーおよびグループを追加します。今回は以下画像のように2ユーザーを追加しました。

以上で、ユーザーとグループの割り当ては完了です。

手順5：条件付きアクセスポリシー構成

アプリ「QuickAccess」への条件付きアクセスポリシーを設定します。

Microsoft Entra 管理センターの[保護] > [条件付きアクセス] > [ポリシー]画面より、「新しいポリシー」をクリックします。

今回は以下画像のように、ターゲットリソースにアプリ「QuickAccess」を指定して、アクセス権の条件として「デバイスは準拠しているとしてマーク済みである必要があります」を設定しました。

以上で、条件付きアクセスポリシーの構成は完了です。

手順6：Private Access Profile有効化

アプリを構成して、ユーザーとグループの割り当ておよび条件付きアクセスポリシーの設定まで完了したら、Private Access Profileを有効化します。

Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス（プレビュー）] > [接続] > [トラフィック転送]画面にて、「Private access profile」にチェックを入れて保存します。

以上で、Private Access Profileの有効化は完了です。

手順7：Global Secure Access Clientをインストール

最後に、エンドユーザーデバイスに対してGlobal Secure Access Clientをインストールしていきます。今回は、Intuneより配布する方法について記載します。
※エンドユーザーデバイス上で直接インストールする方法は以下の記事内で記載していますので、そちらをご参照ください。

Global Secure Access Clientは「.exe」形式のファイルのため、Intuneから配布する場合は事前に「.intunewin」形式に変換する必要があります。
ファイル変換を行うためには、「Microsoft Win32 コンテンツ準備ツール」を使用します。詳細は以下のMicrosoft公式ドキュメントをご参照ください。

Win32 アプリコンテンツのアップロードを準備する

Microsoft Intune 管理センターへアクセスし、[アプリ] > [Windows]画面にて「追加」をクリックします。
今回は、以下のパラメータ値で設定を実施しました。

項目	設定値
インストールコマンド	GlobalSecureAccessClient.exe /install /quiet /norestart
アンインストールコマンド	msiexec.exe /x {4DB0A026-1C26-4A8C-8378-DCB94900B604}
インストールに必要な時間 (分)	60
利用可能なアンインストールを許可する	はい
インストールの処理	システム
デバイスの再起動	何もしない
リターンコード	0 成功 1707 成功 3010 ソフトリブート 1641 ハードリブート 1618 再試行
規則の形式	検出規則を手動で構成する
検出規則	ファイル C:\Program Files\Global Secure Access Client

設定後のプロパティ画面イメージは以下画像の通りです。

設定が完了したら反映されるのを待ちます。以下画像のように、「概要」画面にて正しくインストールされたことを確認できれば完了です。

Entra Private Access（クイックアクセス）の動作確認

説明が長くなりましたが、Entra Private Access（クイックアクセス）の有効化が完了しました。ここからは、今回登録したプライベートリソースへのアクセス確認を実施していきます。

ポリシー準拠デバイスからのアクセス

まずは、ポリシー準拠デバイスからWebサーバとADサーバへアクセスしてみます。

WebサーバへHTTPSアクセス

ポリシー準拠デバイスにてWebブラウザを起動して、「https://10.146.0.45」へアクセスします。
以下画像の通り、正常にアクセスできることを確認しました。
※Webサーバは、本ブログサーバのテスト環境を使用しています。自己署名証明書を使用しているため保護されていない通信と表示されていますが、HTTPSでアクセスしています。

WebサーバへSSHアクセス

続いて、PowerShellを起動してWebサーバへSSHアクセスします。
以下画像の通り、正常にアクセスできることを確認しました。

ADサーバへRDPアクセス

最後に、ADサーバに対してRDPアクセスします。
以下画像の通り、正常にアクセスできることを確認しました。

ポリシー非準拠デバイスからのアクセス

次に、ポリシー非準拠デバイスからのアクセスを確認していきます。

プライベートリソースへアクセスする前に、Global Secure Access Clientにてサインインを行う必要があるのですが、以下画像の通り認証エラーになることを確認しました。

Microsoft Entra管理センターにてサインインログを確認します。
今回新しく追加した「QuickAccessポリシー」にて、想定通りブロックされることが確認できました。

さいごに

いかがだったでしょうか？今回は、Microsoft EntraのSSEソリューションの内、Entra Private Accessについて仕様を確認し、実際に有効化して動作確認した内容を記載しました。正式にリリース後もMicrosoft Entra ID P1ライセンスで利用可能であり、いくつかの制限事項（POPが日本をサポートする等）が解消されれば、非常に魅力あるサービスになると感じました。今後のアップデートに注目していきたいと思います。