次の方法で共有

グローバル セキュア アクセス アプリケーションを使用してアプリごとのアクセスを構成する方法

Microsoft Entra Private Access は、プライベート ネットワーク上の特定のネットワーク宛先へのアクセスを制御およびセキュリティで保護することで、組織の内部リソースへの安全なアクセスを提供します。 これにより、ユーザーのニーズに基づいてきめ細かいネットワーク アクセスを提供できます。 これを行うには、エンタープライズ アプリケーションを作成し、セキュリティで保護する内部のプライベート リソースによって使用されるアプリケーション セグメントを追加します。 Global Secure Access クライアントを実行しているデバイスからエンタープライズ アプリケーションに追加したアプリケーション セグメントに送信されたネットワーク要求は、ネットワーク上の他のリソースに接続することなく、Global Secure Access クラウド サービスによって内部アプリケーションに取得され、ルーティングされます。 エンタープライズ アプリケーションを構成することで、内部リソースへのアプリごとのアクセスを作成します。 エンタープライズ アプリケーションでは、アプリごとにリソースへのアクセス方法を管理する、セグメント化されたきめ細かい機能が提供されます。

この記事では、エンタープライズ アプリケーションを使用してアプリごとのアクセスを構成する方法について説明します。

前提条件

グローバル Secure Access Enterprise アプリを構成するには、次の項目が必要です。

グローバル セキュア アクセス アプリに必要な Microsoft Entra プライベート ネットワーク コネクタ グループを管理するには、以下のものが必要です。

  • Microsoft Entra ID のアプリケーション管理者ロール
  • Microsoft Entra ID P1 または P2 ライセンス

既知の制限事項

既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。

上位手順

アプリごとのアクセスは、新しい Global Secure Access アプリを作成することによって構成します。 アプリを作成し、コネクタ グループを選択して、ネットワーク アクセス セグメントを追加します。 これらの設定は、ユーザーとグループを割り当てることができる個々のアプリを構成します。

アプリごとのアクセスを構成するには、アクティブな Microsoft Entra アプリケーション プロキシ コネクタを少なくとも 1 つ含むコネクタ グループが必要です。 このコネクタ グループが、この新しいアプリケーションへのトラフィックを処理します。 コネクタを使用すると、ネットワークとコネクタごとにアプリを分離できます。

要約すると、全体的なプロセスは次のとおりです。

  1. 1 つ以上のアクティブなプライベート ネットワーク コネクタがあるコネクタ グループを作成する

    • コネクタ グループが既にある場合は、最新バージョンであることを確認してください。

  2. Global Secure Access アプリを作成する

  3. アプリにユーザーとグループを割り当てる

  4. 条件付きアクセス ポリシーを構成する

  5. Microsoft Entra Private Access を有効にする

プライベート ネットワーク コネクタ グループを作成する

グローバル セキュア アクセス アプリを構成するには、アクティブなプライベート ネットワーク コネクタを少なくとも 1 つ含むコネクタ グループが必要です。

コネクタをまだ設定していない場合は、「コネクタの構成」を参照してください。

前にコネクタをインストールしていた場合は、再インストールして最新バージョンにしてください。 アップグレードするときは、既存のコネクタをアンインストールし、関連するフォルダーをすべて削除してください。

プライベート アクセスに必要なコネクタの最小バージョンは 1.5.3417.0 です。

グローバル Secure Access Enterprise アプリケーションを作成する

新しいアプリを作成するには、名前を指定し、コネクタ グループを選択して、アプリケーション セグメントを追加します。 アプリ セグメントには、サービスをトンネリングするための完全修飾ドメイン名 (FQDN) と IP アドレスが含まれます。 3 つの手順をすべて同時に完了することも、初期セットアップ完了後に追加することもできます。

名前とコネクタ グループを選択する

  1. 適切なロールを使用して Microsoft Entra 管理センターにサインインします。

  2. [グローバル セキュア アクセス]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。

  3. [新しいアプリケーション] を選択します。

    エンタープライズ アプリと [新しいアプリケーションの追加] ボタンのスクリーンショット。

  4. アプリの名前を入力します。

  5. ドロップダウン メニューからコネクタ グループを選択します。

    重要

    アプリケーションを作成するには、少なくとも 1 つのアクティブなコネクタが必要です。 コネクタの詳細については、「Microsoft Entra プライベート ネットワーク コネクタを理解する」を参照してください。

  6. ページの下部にある [保存] ボタンを選択して、プライベート リソースを追加せずにアプリを作成します。

アプリケーション セグメントを追加する

アプリケーション セグメントは、宛先、ポート、プロトコルの 3 つのフィールドによって定義されます。 2 つ以上のアプリケーション セグメントに同じ宛先、ポート、プロトコルが含まれている場合、それらは重複していると見なされます。 アプリケーション セグメントの追加 プロセスでは、グローバル セキュリティで保護されたアクセス クライアントがターゲットプライベート アプリケーションにルーティングする FQDN と IP アドレスを定義します。 アプリケーション セグメントは、アプリの作成時に追加できます。後でもう一方を追加したり、編集したりできます。

完全修飾ドメイン名 (FQDN)、IP アドレス、および IP アドレス範囲を追加できます。 各アプリケーション セグメント内に複数のポートとポート範囲を追加できます。

  1. Microsoft Entra 管理センターにサインインします。

  2. [グローバル セキュア アクセス]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。

  3. [新しいアプリケーション] を選択します。

  4. [アプリケーション セグメントの追加] を選択します。

  5. 開いた [Create application segment] (アプリケーション セグメントの作成) パネルで、[宛先の種類] を選択します。

  6. 選択した宛先の種類に適した詳細を入力します。 選択内容に応じて、後続のフィールドが変わります。

    • IP アドレス:
      • ネットワーク上のデバイスを識別するインターネット プロトコル バージョン 4 (IPv4) アドレス (192.168.2.1 など)。
      • 含めるポートを指定します。
    • 完全修飾ドメイン名 (ワイルドカード FQDN を含む):
      • ドメイン ネーム システム (DNS) 内のコンピューターまたはホストの正確な場所を指定するドメイン名。
      • 含めるポートを指定します。
      • NetBIOS はサポートされていません。 たとえば、contoso.local/app1 の代わりに contoso/app1. を使用します
    • IP アドレスの範囲 (CIDR):
      • クラスレス ドメイン間ルーティング (CIDR) は IP アドレスの範囲を表しており、IP アドレスの後にサブネット マスクでのネットワーク ビットの数を示すサフィックスが続きます。
      • たとえば、192.168.2.0/24 は、IP アドレスの最初の 24 ビットがネットワーク アドレスを表し、残りの 8 ビットがホスト アドレスを表すことを示します。
      • 開始アドレス、ネットワーク マスク、ポートを指定します。
    • IP アドレスの範囲 (IP から IP):
      • 開始 IP (192.168.2.1 など) から終了 IP (192.168.2.10 など) までの IP アドレスの範囲。
      • IP アドレスの開始、終了、ポートを指定します。

  7. ポートを入力し、[適用] ボタンを選択します。

    • ポートを複数指定するときはコンマで区切ります。
    • ハイフンでポート範囲を指定します。
    • 変更を適用すると、値の間のスペースが削除されます。
    • たとえば、400-500, 80, 443 のようにします。

    複数のポートが追加された、アプリ セグメントの作成パネルのスクリーンショット。

    次の表に、最もよく使用されるポートと、それに関連するネットワーク プロトコルを示します。

    ポート プロトコル
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. [保存] を選択します。

アプリには最大 500 個のアプリケーション セグメントを追加できますが、これらのアプリケーション セグメントのいずれも、プライベート アクセス アプリ内またはプライベート アクセス アプリ間で重複する FQDN、IP アドレス、または IP 範囲を持つことはできません。 プライベート アクセス アプリとクイック アクセスの間でセグメントが重複する場合は、VPN の置き換えを可能にする特別な例外が許可されます。 エンタープライズ アプリで定義されたセグメント (10.1.1.1:3389 など) がクイック アクセスで定義されたセグメント (10.1.1.0/24:3389 など) と重なる場合、エンタープライズ アプリで定義されたセグメントは GSA サービスによって優先されます。 エンタープライズ アプリとして定義されているアプリケーション セグメントへのユーザーからのトラフィックは、クイック アクセスによって処理されません。 つまり、10.1.1.1 への RDP を試みるすべてのユーザーは、ユーザーの割り当てや条件付きアクセス ポリシーなど、エンタープライズ アプリの構成に従って評価およびルーティングされます。 ベスト プラクティスとして、エンタープライズ アプリで定義したアプリケーション セグメントをクイック アクセスから削除し、除外できるように IP サブネットをより小さな範囲に分割します。

ユーザーとグループの割り当て

ユーザーやグループをアプリに割り当てて、作成したアプリへのアクセス権を付与する必要があります。 詳細については、「アプリケーションにユーザーとグループを割り当てる」を参照してください。

  1. Microsoft Entra 管理センターにサインインします。
  2. [グローバル セキュア アクセス]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。
  3. アプリケーションを検索して選択します。
  4. サイド メニューから [ユーザーおよびグループ] を選択します。
  5. 必要に応じてユーザーとグループを追加します。

アプリまたはアプリに割り当てられたグループに直接割り当てられたユーザーを割り当てる必要があります。 入れ子になったグループはサポートされません。 また、クイック アクセスで定義されている既存の (重複する) アプリケーション セグメントがある場合でも、アクセスの割り当ては新しく作成されたエンタープライズ アプリに自動的に転送されないことに注意してください。 これは重要です。クイック アクセスを通じてアプリ セグメントに正常にアクセスしたユーザーが、エンタープライズ アプリにアクセスを割り当てるまで、アプリ セグメントが Enterprise Apps に移動されるとアクセスがブロックされるという問題が発生する可能性があるためです。 構成の変更がグローバル セキュア アクセス クライアントと同期されるまでに 15 分かかります。

アプリケーション セグメントを更新する

アプリに含まれる FQDN と IP アドレスはいつでも追加や更新ができます。

  1. Microsoft Entra 管理センターにサインインします。
  2. [グローバル セキュア アクセス]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。
  3. アプリケーションを検索して選択します。
  4. サイド メニューから [ネットワーク アクセス プロパティ] を選択します。
    • 新しい FQDN または IP アドレスを追加するには、[アプリケーション セグメントの追加] を選択します。
    • 既存のアプリを編集するには、[宛先の種類] 列から選択します。

Global Secure Access クライアントでアクセスを有効または無効にする

Global Secure Access クライアントを使用して、Global Secure Access アプリへのアクセスを有効または無効にすることができます。 このオプションは既定で選択されていますが、アプリ セグメントに含まれる FQDN と IP アドレスがサービスを介してトンネリングされないように無効にすることができます。

アクセスを有効にするチェック ボックスのスクリーンショット。

条件付きアクセス ポリシーを割り当てる

アプリごとのアクセスに対する条件付きアクセス ポリシーは、アプリごとにアプリケーション レベルで構成されます。 条件付きアクセス ポリシーは、アプリケーションに対して次の 2 つの場所から作成して適用できます。

  • Global Secure Access> アプリケーション>エンタープライズ アプリケーションに進みます。 アプリケーションを選択し、サイド メニューから [条件付きアクセス] を選択します。
  • Entra ID>Conditional Access>Policies に移動します。 [新しいポリシーの作成] を選択します。

詳細については、「条件付きアクセス ポリシーをプライベート アクセス アプリに適用する」を参照してください。

Microsoft Entra Private Access を有効にする

アプリを構成し、プライベート リソースを追加して、ユーザーをアプリに割り当てたら、プライベート アクセス トラフィック転送プロファイルを有効にすることができます。 Global Secure Access アプリを構成する前にプロファイルを有効にできますが、アプリとプロファイルが構成されていない場合、転送するトラフィックはありません。

  1. Microsoft Entra 管理センターにサインインします。
  2. [グローバル セキュア アクセス]>[接続]>[トラフィック転送] に移動します。
  3. [プライベート アクセス プロファイル] のトグルを選びます。

このダイアグラムは、リモート デスクトップ プロトコルを使用してプライベート ネットワーク上のサーバーに接続しようとした場合に Microsoft Entra Private Access がどのように機能するかを示しています。

リモート デスクトップ プロトコルを使用する Microsoft Entra Private Access のダイアグラム。

ステップ 説明
1 ユーザーは、ターゲット サーバーにマップされる FQDN への RDP セッションを開始します。 トラフィックは GSA クライアントによってインターセプトされ、SSE Edge にトンネルされます。
2 SSE Edge により、ユーザーがアプリケーションに割り当てられているかどうか、条件付きアクセス ポリシーなど、Microsoft Entra ID に格納されているポリシーが評価されます。
3 ユーザーが認可されると、Microsoft Entra ID から Private Access アプリケーションのトークンが発行されます。
4 Private Access サービスに進むために、トラフィックはアプリケーションのアクセス トークンと共に解放されます。
5 アクセス トークンは Private Access サービスによって検証され、接続は Private Access バックエンド サービスに仲介されます。
6 接続はプライベート ネットワーク コネクタに仲介されます。
7 プライベート ネットワーク コネクタにより、ターゲット サーバーの IP アドレスを特定する DNS クエリが実行されます。
8 プライベート ネットワーク上の DNS サービスから応答が送信されます。
9 プライベート ネットワーク コネクタにより、トラフィックはターゲット サーバーに転送されます。 RDP セッション (RDP 認証を含む) がネゴシエートされ、確立されます。

次のステップ

Microsoft Entra Private Access の使用を開始する次の手順は、プライベート アクセス トラフィック転送プロファイルを有効にすることです。

プライベート アクセスの詳細については、次の記事を参照してください。