今回は、Microsoft Entraの新しい機能であるSecurity Service Edge (以下、SSE)ソリューションの内、「Microsoft Entra Private Access(以下、Entra Private Access)」について仕様を確認していきます。また、実際に機能を有効化して動作確認を実施していきたいと思います。
もう一つのSSEソリューション機能「Microsoft Entra Internet Access」については、過去に以下の記事を記載していますので、ご興味があれば合わせてご覧になってください。
Entra Private Accessとは
Entra Private Accessとは、Microsoft Entra 製品グループ の「ネットワークアクセス」に位置しており、社内アプリケーションやリソースに対して、ユーザーがどこからでも安全にアクセスできるようにするIDを中心としたZTNA(ゼロトラスト ネットワークアクセス)サービスです。2023年11月6日時点において、パブリックプレビュー機能として提供されています。
MicrosoftのSSEソリューションの一部として、ゼロトラストの原則に基づいて構築されており、ユーザー、デバイス、場所といった要素を考慮したきめ細かな条件付きアクセスポリシーに基づいて、アプリごとに最小特権のアクセス制御を実施することが可能になります。
オンプレミスまたはクラウドベースのあらゆるアプリケーションへのセキュアなアクセスを可能にして、RDP、SSH、FTPなど、TCPまたはUDPを使用するあらゆるポートやプロトコルで動作します。
従来のリモートアクセス機能であるVPNを必要とせず、VPNの課題である「ネットワーク全体への過剰なアクセス許可」や「運用の複雑さによるコスト増」を改善し、リモートワーク環境で働くユーザーやデバイスをプライベートリソースに最適に接続することが可能になります。
Entra Private Accessの仕様についてより詳細に確認したい方は、以下の Japan Azure Identity Support Blogをご参照ください。
Microsoft Entra Private Access: ID を中心としたゼロ トラスト ネットアーク アクセス ソリューション
構成方法
Entra Private Accessでは、プライベートリソースを構成する方法として以下の2つ用意されています。
クイックアクセス
1つのエンタープライズアプリケーション(プライベートリソースのコンテナーとして機能する)を作成して、セキュリティで保護したい完全修飾ドメイン名(FQDN)とIPアドレスを登録します。
従来のVPNから、迅速かつ簡単に移行を行いたい場合の構成です。
アプリごとのアクセス
セグメント毎に複数のエンタープライズアプリケーションを作成して、アプリケーション毎に異なる条件付きアクセスポリシーを定義します。
「特定の期間に対してのみセキュリティで保護したい」や「アプリケーション毎に異なるアクセスポリシーを定義したい」など、クイックアクセスよりもきめ細かくアクセス制御したい場合の構成です。
Microsoft Entra Private Access について学習する
前提条件
Entra Private Accessを構成するには、以下が必要です。
- Microsoft Entra IDの「Global Secure Access管理者」と「アプリケーション管理者」ロール
- プレビューの現時点において、Microsoft Entra ID P1 ライセンス
制限事項
既知の制限事項として以下があります。
- 「クイックアクセス」と「アプリごとのアクセス」の間で、アプリセグメントの重複は避ける必要がある
- IPアドレスによるプライベートリソースを定義する場合、エンドユーザーデバイスのローカルサブネット外のIP範囲のみサポートされる
- 現時点では、「Global Secure Access Client」をエンドユーザーデバイスへインストールする必要がある(重要:Global Secure Access Clientのインストールに関する制限事項 も合わせてご確認ください)
ポイント・オブ・プレゼンス (POP)
Entra Private Access経由のアクセスは、限られたポイント・オブ・プレゼンスに接続を行います。2023年11月6日時点において、残念ながら日本はサポートされていないため、国内から使用する場合はレスポンス速度が低下する可能性が考えられます。
Global Secure Access (プレビュー) のポイント オブ プレゼンス
Entra Private Access(クイックアクセス)の有効化
ここからは、Entra Private Accessの内、クイックアクセスを有効化する手順について以下のMicrosoft 公式ドキュメントを参照して確認していきます。
Global Secure Access のクイック アクセスを構成する方法
クイックアクセスの有効化手順
クイックアクセスを有効化する手順の流れは以下の通りです。
- アプリケーション プロキシ コネクタの構成
- コネクタ グループの作成
- クイックアクセスの構成
- ユーザーとグループの割り当て
- 条件付きアクセスポリシーを構成
- Private Access Profileを有効化
- Global Secure Access Clientをインストール
今回は、以下の環境を構築していきます。プライベートIPアドレスのみを持つADサーバとWebサーバに対して、規定のコンプライアンスポリシーに準拠しているWindows端末からのみリモートアクセスを許可したいと思います。
※ADサーバとWebサーバ、App Proxy Connector用のWindowsサーバの構築、Microsoft Intune(以下、Intune)のコンプライアンスポリシー設定は割愛します
名称 | OS | IPアドレス |
---|---|---|
App Proxy Connector | Windows Server 2022 | 10.146.0.46 |
ADサーバ | Windows Server 2019 | 10.146.0.33 |
Webサーバ | Ubuntu 22.04 LTS | 10.146.0.45 |
手順1:アプリケーション プロキシ コネクタ構成
アプリケーション プロキシ コネクタとは、軽量エージェントでありEntra Private Accessサービスへの送信接続を行うために使用します。外部から接続したいプライベートリソース(今回はADサーバとWebサーバ)へのアクセス権を持つWindowsサーバへインストールする必要があります。
アプリケーション プロキシ コネクタ用のWindowsサーバに関する前提条件については、以下のMicrosoft 公式ドキュメントをご参照ください。
Microsoft Entra Private Access 用にアプリ プロキシ コネクタを構成する方法
アプリケーション プロキシ コネクタのダウンロード
まずは、Windowsサーバへサインインを行い、Microsoft Entra 管理センター へアクセスします。
[セキュリティで保護されたグローバルアクセス(プレビュー)] > [接続] > [コネクタ] の画面より、「コネクタ サービスのダウンロード」をクリックします。
「規約に同意してダウンロード」をクリックします。
以上で、Windowsサーバへアプリケーション プロキシ コネクタのパッケージをダウンロードすることができます。
TLS1.2の有効化
アプリケーション プロキシ コネクタをインストールするには、サーバでTLS 1.2が有効になっている必要があります。以下のレジストリキーを設定します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0] "SchUseStrongCrypto"=dword:00000001
以下画像はレジストリエディターの設定画面イメージです。
レジストリキーの設定が完了したらサーバを再起動します。
Microsoft Entra アプリケーション プロキシ コネクタを理解する
コネクタのインストール
アプリケーション プロキシ コネクタをインストールします。先ほどダウンロードしたパッケージ「AADApplicationProxyConnectorInstaller.exe」をダブルクリックします。
以下画像のウィザードが表示されますので、「I agree to the license terms and conditions」にチェックを入れて「Install」をクリックします。
インストール途中でMicrosoft アカウントのサインインが求められますので、グローバル管理者権限を持つアカウントで認証を行います。
以下画像の「Setup Successful」が表示されたら完了です。「Close」をクリックしてウィザード画面を閉じます。
アプリケーション プロキシ コネクタが正しくインストールされたことを確認します。
Microsoft Entra管理センターにて、[セキュリティで保護されたグローバルアクセス(プレビュー)] > [接続] > [コネクタ] の画面を参照します。
以下画像のように、インストールしたサーバが表示されます。
Windowsサーバ上でインストールを確認する場合は、Windows キーを選択して「services.msc」と入力してWindows サービスマネージャーを起動します。
以下画像のように「Microsoft AAD Application Proxy Connector」と「Microsoft AAD Application Proxy Connector Updater」が実行中であることを確認します。
以上で、アプリケーション プロキシ コネクタの構成は完了です。
手順2:コネクタグループ作成
クイックアクセスを構成するには、1つ以上のアクティブなアプリケーション プロキシ コネクタを含むコネクタグループを作成する必要があります。
Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス(プレビュー)] > [接続] > [コネクタ] 画面にて、「新しいコネクタグループ」をクリックします。
任意の名前を入力し、登録したコネクタを選択して「作成」をクリックします。
以下画像のように、作成したコネクタグループが表示されます。
以上で、コネクタグループの作成は完了です。
手順3:クイックアクセス構成
コネクタグループを作成したら、クイックアクセスの構成を行います。
Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス(プレビュー)] > [アプリケーション] > [クリックアクセス] 画面を表示します。
「名前」「コネクタグループ」「対象のプライベートリソース」を設定します。今回は、以下画像のようにADサーバとWebサーバのIPアドレスおよびポート番号を追加しました。
以上で、クイックアクセスの構成は完了です。
手順4:ユーザーとグループの割り当て
クイックアクセスを構成したら、指定した名前(今回はQuickAccess)のエンタープライズアプリケーションが自動で作成されます。アプリへのアクセス権を付与するために、対象のユーザーとグループの割り当てを行う必要があります。
Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス(プレビュー)] > [アプリケーション] > [クリックアクセス]画面の「アプリケーション設定を編集する」をクリックします。
「ユーザーとグループ」画面を表示して、アクセスを許可したいユーザーおよびグループを追加します。今回は以下画像のように2ユーザーを追加しました。
以上で、ユーザーとグループの割り当ては完了です。
手順5:条件付きアクセスポリシー構成
アプリ「QuickAccess」への条件付きアクセスポリシーを設定します。
Microsoft Entra 管理センターの[保護] > [条件付きアクセス] > [ポリシー]画面より、「新しいポリシー」をクリックします。
今回は以下画像のように、ターゲットリソースにアプリ「QuickAccess」を指定して、アクセス権の条件として「デバイスは準拠しているとしてマーク済みである必要があります」を設定しました。
以上で、条件付きアクセスポリシーの構成は完了です。
手順6:Private Access Profile有効化
アプリを構成して、ユーザーとグループの割り当ておよび条件付きアクセスポリシーの設定まで完了したら、Private Access Profileを有効化します。
Microsoft Entra 管理センターの [セキュリティで保護されたグローバルアクセス(プレビュー)] > [接続] > [トラフィック転送]画面にて、「Private access profile」にチェックを入れて保存します。
以上で、Private Access Profileの有効化は完了です。
手順7:Global Secure Access Clientをインストール
最後に、エンドユーザーデバイスに対してGlobal Secure Access Clientをインストールしていきます。今回は、Intuneより配布する方法について記載します。
※エンドユーザーデバイス上で直接インストールする方法は以下の記事内で記載していますので、そちらをご参照ください。
Global Secure Access Clientは「.exe」形式のファイルのため、Intuneから配布する場合は事前に「.intunewin」形式に変換する必要があります。
ファイル変換を行うためには、「Microsoft Win32 コンテンツ準備ツール」を使用します。詳細は以下のMicrosoft公式ドキュメントをご参照ください。
Microsoft Intune 管理センター へアクセスし、[アプリ] > [Windows]画面にて「追加」をクリックします。
今回は、以下のパラメータ値で設定を実施しました。
項目 | 設定値 |
---|---|
インストールコマンド | GlobalSecureAccessClient.exe /install /quiet /norestart |
アンインストールコマンド | msiexec.exe /x {4DB0A026-1C26-4A8C-8378-DCB94900B604} |
インストールに必要な時間 (分) | 60 |
利用可能なアンインストールを許可する | はい |
インストールの処理 | システム |
デバイスの再起動 | 何もしない |
リターン コード | 0 成功 1707 成功 3010 ソフト リブート 1641 ハード リブート 1618 再試行 |
規則の形式 | 検出規則を手動で構成する |
検出規則 | ファイル C:\Program Files\Global Secure Access Client |
設定後のプロパティ画面イメージは以下画像の通りです。
設定が完了したら反映されるのを待ちます。以下画像のように、「概要」画面にて正しくインストールされたことを確認できれば完了です。
Entra Private Access(クイックアクセス)の動作確認
説明が長くなりましたが、Entra Private Access(クイックアクセス)の有効化が完了しました。ここからは、今回登録したプライベートリソースへのアクセス確認を実施していきます。
ポリシー準拠デバイスからのアクセス
まずは、ポリシー準拠デバイスからWebサーバとADサーバへアクセスしてみます。
WebサーバへHTTPSアクセス
ポリシー準拠デバイスにてWebブラウザを起動して、「https://10.146.0.45」へアクセスします。
以下画像の通り、正常にアクセスできることを確認しました。
※Webサーバは、本ブログサーバのテスト環境を使用しています。自己署名証明書を使用しているため保護されていない通信と表示されていますが、HTTPSでアクセスしています。
WebサーバへSSHアクセス
続いて、PowerShellを起動してWebサーバへSSHアクセスします。
以下画像の通り、正常にアクセスできることを確認しました。
ADサーバへRDPアクセス
最後に、ADサーバに対してRDPアクセスします。
以下画像の通り、正常にアクセスできることを確認しました。
ポリシー非準拠デバイスからのアクセス
次に、ポリシー非準拠デバイスからのアクセスを確認していきます。
プライベートリソースへアクセスする前に、Global Secure Access Clientにてサインインを行う必要があるのですが、以下画像の通り認証エラーになることを確認しました。
Microsoft Entra管理センターにてサインインログを確認します。
今回新しく追加した「QuickAccessポリシー」にて、想定通りブロックされることが確認できました。
さいごに
いかがだったでしょうか?今回は、Microsoft EntraのSSEソリューションの内、Entra Private Accessについて仕様を確認し、実際に有効化して動作確認した内容を記載しました。正式にリリース後もMicrosoft Entra ID P1ライセンスで利用可能であり、いくつかの制限事項(POPが日本をサポートする等)が解消されれば、非常に魅力あるサービスになると感じました。今後のアップデートに注目していきたいと思います。
参考リンク
- Microsoft Entra 製品グループ
- Microsoft Entra Private Access: ID を中心としたゼロ トラスト ネットアーク アクセス ソリューション
- Microsoft Entra Private Access について学習する
- Global Secure Access (プレビュー) のポイント オブ プレゼンス
- Global Secure Access のクイック アクセスを構成する方法
- Microsoft Entra Private Access 用にアプリ プロキシ コネクタを構成する方法
- Microsoft Entra アプリケーション プロキシ コネクタを理解する
- Win32 アプリ コンテンツのアップロードを準備する