<p>Global Secure Access のプレビューが 2023 年 7 月から開始され様々な機能が Preview になりました。その中で Remote Network 接続について Azure でシミュレートする方法が公開されたので試してみました。</p>
<h2 id="remote-network-%E6%8E%A5%E7%B6%9A%E3%81%A8%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#remote-network-%E6%8E%A5%E7%B6%9A%E3%81%A8%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> Remote Network 接続とは？</h2>
<p>Remote Network 接続とは IPSec トンネルを設定し Global Secure Access にアクセスする方法です。<br>
Global Secure Access の利用においてクライアント端末へ GSA エージェントをインストールすることが推奨構成となりますがこの方法を用いることで、<br>
・GSA クライアントの導入が難しいケース<br>
・ゲストデバイスでの利用<br>
といったシナリオに対応することができます。<br>
IPSec トンネルを介して拠点のルーターと最も近い Global Secure Access にアクセスします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/7921c961fcf4-20240331.png" loading="lazy" class="md-img"><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__38498119a1241" src="https://embed.zenn.studio/card#zenn-embedded__38498119a1241" data-content="https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fentra%2Fglobal-secure-access%2Fconcept-remote-network-connectivity" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-remote-network-connectivity" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-remote-network-connectivity</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__e91e7cf87daad" src="https://embed.zenn.studio/card#zenn-embedded__e91e7cf87daad" data-content="https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fentra%2Fglobal-secure-access%2Fhow-to-simulate-remote-network" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-simulate-remote-network" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-simulate-remote-network</a></p>
<h2 id="azure-%E3%81%A7-remote-network-%E6%8E%A5%E7%B6%9A%E3%82%92%E3%82%B7%E3%83%9F%E3%83%A5%E3%83%AC%E3%83%BC%E3%83%88%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#azure-%E3%81%A7-remote-network-%E6%8E%A5%E7%B6%9A%E3%82%92%E3%82%B7%E3%83%9F%E3%83%A5%E3%83%AC%E3%83%BC%E3%83%88%E3%81%99%E3%82%8B" aria-hidden="true"></a> Azure で Remote Network 接続をシミュレートする</h2>
<p>環境の構成は以下となります<br>
<img src="https://storage.googleapis.com/zenn-user-upload/7c976d377e8b-20240331.png" loading="lazy" class="md-img"></p>
<aside class="msg alert"><span class="msg-symbol">!</span><div class="msg-content">
<p>現在既知の事項として以下の制限事項があります<br>
・テナント当たりの Remote Network 登録は 10 まで<br>
・Remote Network あたりのデバイスリンクは 4 まで<br>
・現在は Entra Internet Access のみ対応<br>
・条件付きアクセスポリシーは利用できません</p>
</div></aside>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__1c13c19a88a9d" src="https://embed.zenn.studio/card#zenn-embedded__1c13c19a88a9d" data-content="https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fentra%2Fglobal-secure-access%2Fhow-to-create-remote-networks%3Ftabs%3Dmicrosoft-entra-admin-center%23known-limitations" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-create-remote-networks?tabs=microsoft-entra-admin-center#known-limitations" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-create-remote-networks?tabs=microsoft-entra-admin-center#known-limitations</a></p>
<h2 id="remote-network-%E6%8E%A5%E7%B6%9A%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#remote-network-%E6%8E%A5%E7%B6%9A%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B" aria-hidden="true"></a> Remote Network 接続を構築する</h2>
<p>Learn では冗長構成になっていますが、シングルで構築してみました。</p>
<ol>
<li>リソースグループの作成</li>
<li>仮想ネットワークを作成</li>
<li>仮想ネットワークゲートウェイを作成</li>
<li>Remote Network を作成</li>
</ol>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>Entra 管理センター PSK を入れる必要がありますが手順 6 で必要になります</p>
</div></aside>
<ol start="5">
<li>ローカルネットワークゲートウェイを作成する</li>
<li>Site 2 Site 接続を構成する</li>
</ol>
<p>設定する IP アドレス、BGP IP アドレス、ASN などの相関関係は以下のようになっています<br>
<img src="https://storage.googleapis.com/zenn-user-upload/1ce78ec908b5-20240331.png" loading="lazy" class="md-img"></p>
<p>構成が完了し設定に問題が無い場合は以下のように確認ができます<br>
■Azure Portal：仮想ネットワークゲートウェイ＞接続<br>
IPSec 設定が正しくできているか<br>
<img src="https://storage.googleapis.com/zenn-user-upload/77231740aae4-20240331.png" loading="lazy" class="md-img"><br>
■Entra 管理センター：グローバルセキュアアクセス＞モニター＞リモートネットワークの正常性ログ<br>
※アダプティブアクセス（送信元 IP の利用可否）の設定を ON/Off にしてもログの出力に差異がありませんでした。。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/38a3a56f2887-20240331.png" loading="lazy" class="md-img"></p>
<p>実際に M365 へのアクセスを行うと仮想ネットワークゲートウェイのメトリックで IPSec の MMSA や QMSA がカウントされていることも確認が可能です<br>
<img src="https://storage.googleapis.com/zenn-user-upload/8d91cab3ef8f-20240331.png" loading="lazy" class="md-img"></p>
<p>また、アダプティブアクセス（送信元 IP の利用可否）の設定を ON/Off で通信できるかやサインインログの変化があるか試してみましたがこちらに差異はありませんでした。また、トラフィックログには残念ながらログが上がりませんでした。<br>
今後 Global Secure Access 向けの監査ログやデプロイログの機能が提供される予定なので GA までにこの辺りはもう少し情報が出てくると本番利用での選択がしやすいと思いました。</p>
<h2 id="%E3%81%95%E3%81%84%E3%81%94%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%95%E3%81%84%E3%81%94%E3%81%AB" aria-hidden="true"></a> さいごに</h2>
<p>現状、条件付きアクセスや Entra Private Access での利用ができませんが今後の拡張に期待です！</p>


Global Secure Access - Remote Network 接続を試してみた

Azure で Remote Network 接続をシミュレートする

Discussion