Global Secure Access - Remote Network 接続を試してみた
Global Secure Access のプレビューが 2023 年 7 月から開始され様々な機能が Preview になりました。その中で Remote Network 接続について Azure でシミュレートする方法が公開されたので試してみました。
Remote Network 接続とは?
Remote Network 接続とは IPSec トンネルを設定し Global Secure Access にアクセスする方法です。
Global Secure Access の利用においてクライアント端末へ GSA エージェントをインストールすることが推奨構成となりますがこの方法を用いることで、
・GSA クライアントの導入が難しいケース
・ゲストデバイスでの利用
といったシナリオに対応することができます。
IPSec トンネルを介して拠点のルーターと最も近い Global Secure Access にアクセスします。
Azure で Remote Network 接続をシミュレートする
環境の構成は以下となります
Remote Network 接続を構築する
Learn では冗長構成になっていますが、シングルで構築してみました。
- リソースグループの作成
- 仮想ネットワークを作成
- 仮想ネットワークゲートウェイを作成
- Remote Network を作成
- ローカルネットワークゲートウェイを作成する
- Site 2 Site 接続を構成する
設定する IP アドレス、BGP IP アドレス、ASN などの相関関係は以下のようになっています
構成が完了し設定に問題が無い場合は以下のように確認ができます
■Azure Portal:仮想ネットワークゲートウェイ>接続
IPSec 設定が正しくできているか
■Entra 管理センター:グローバルセキュアアクセス>モニター>リモートネットワークの正常性ログ
※アダプティブアクセス(送信元 IP の利用可否)の設定を ON/Off にしてもログの出力に差異がありませんでした。。
実際に M365 へのアクセスを行うと仮想ネットワークゲートウェイのメトリックで IPSec の MMSA や QMSA がカウントされていることも確認が可能です
また、アダプティブアクセス(送信元 IP の利用可否)の設定を ON/Off で通信できるかやサインインログの変化があるか試してみましたがこちらに差異はありませんでした。また、トラフィックログには残念ながらログが上がりませんでした。
今後 Global Secure Access 向けの監査ログやデプロイログの機能が提供される予定なので GA までにこの辺りはもう少し情報が出てくると本番利用での選択がしやすいと思いました。
さいごに
現状、条件付きアクセスや Entra Private Access での利用ができませんが今後の拡張に期待です!
Discussion