Zenn
Microsoft (有志)Publicationへの投稿
🍭

Global Secure Access 2024 年 3 月現在どこまで使えるの?

shmatsuy
2024/01/26に公開
#
sse
#
microsofrsecurity
tech

お問い合わせいただくことが多かったのでまとめました

Global Secure Access とは?(Preview 中)

業界的には SSE とカテゴライズされるソリューションで以下の 2 つが現在 Preview 中です
Entra Inernet Access(SWG): 以後 EIA
Entra Private Access(ZTNA): 以後 EPA
ライセンスについては未定。現状 Microsoft Entra ID P1 (Entra Internet Access で M365 への制御をする場合は Microsoft 365 E3 推奨)で Public Preview 中の機能を利用することが可能です
https://learn.microsoft.com/ja-jp/entra/global-secure-access/

どうやって構成するの?

Microsoft のクラウドアーキテクトの方がめちゃ綺麗にまとめてますのでこちらご参照ください
https://zenn.dev/microsoft/articles/d276c4447c66a4
https://zenn.dev/microsoft/articles/645e632231735f

現在はどこまで何が使えるの?

デバイスエージェントの各種 OS への対応(一部 Private Preview)

2023年7月11日発表当初は Windows のみの対応でしたが現在は
Android が Public Preview
iOS / MacOS が Private Preview のステータスとなっています
※Private Preview は参加テナントが多く現在お申込みが制限されています

https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-android-client?tabs=device-administrator

リモートネットワーク接続(Public Preview)

デバイスエージェントで構成する以外に物理ルーターなどを利用したリモートネットワーク接続の方式が準備されています。デバイスへのインストールが困難なケースやゲストデバイスに対してのポリシー適応などのシナリオに対応します
ネットワーク機器とエンドポイントの間に設定された IPSec トンネルを経由し、そこから最も近い Global Secure Access のアクセスポイントへ接続します
https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-remote-network-connectivity
リモートネットワークで有効な構成についても詳細が出てきました
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-remote-network-configurations
リモートアクセスログ(Log Analytics 格納時のテーブル名:RemoteNetworkHealthLogs)を利用すると送信元 IP アドレスの他、送信先 IP アドレス(Microsoft Entra ゲートウェイ の IP アドレス)も見えるため、どのリージョンのアクセスポイントに接続しているかが分かるようになります
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-remote-network-health-logs?tabs=microsoft-entra-admin-center

ネットワークトラフィックダッシュボード(Public Preview)

ネットワークトラフィックダッシュボードが Public Preview で提供されています。
本製品がデプロイされているデバイス数やアクティブなデバイス数、テナント内で最も利用されているアプリケーションが何か等々が見れるようになっています

https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-traffic-dashboard

監査ログ(Private Preview)

監査ログは既定で 30 日間保持されます。それ以降も利用する場合には LogAnalytics や Microsoft Sentinel 、各種ストレージなどへエクスポートすることが可能です
※Log Analytics へのエクスポート設定画面

https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-access-audit-logs#save-audit-logs

トラフィックログ(Public Preview)

Web サイト等にアクセスした際のログを確認できます。
セッション、接続、トランザクションなどが確認できます

https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-view-traffic-logs

エンリッチメントされた M365 監査ログ(Public & Private Preview)

M365 アプリに関するネットワーク診断データ、パフォーマンスデータ、セキュリティイベントなどが確認できます。これらのログを利用することでユーザーのデバイスがどのようにネットワークに接続しているか視認することができ、そこから待ち時間の短縮対応や正確な IP アドレスなどを知ることができ SIEM ツール等と統合し詳細な分析を行うことが可能になります
エンリッチメントされた M365 ログを表示するには Log Analytics や SIEM ツールにエクスポートまたはストリーミングする必要があります。
※SharePoint Online が Public Preview
※Teams & Exchange Online が Private Preview
※Multi-Geo テナントはサポート外
※設定画面

ユニバーサル条件付きアクセス(Public Preview)

通常の条件付きアクセスはアプリケーションに対して MFA や準拠デバイスか、サインインリスクなどの条件に応じてアクセス制御が出来る機能です。
ユニバーサル条件付きアクセスはこれらアクセス制御の機能をネットワークトラフィックに対して適用するものです。
アプリケーションやアクションだけでなくトラフィックプロファイルに基づいて M365 やプライベートな資産へのアクセスを対象に条件付きアクセスを適応させることが可能となります
https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-universal-conditional-access

ソース IP の復元(Public Preview)

通常のクラウドプロキシではリソース側から見た接続元 IP アドレスは実際の IP アドレスとは異なりますが Global Secure Access では元の(実際の)IP アドレスを利用できるようにした機能です。(ただし両方を取得することは出来ない)
この機能を利用することで条件付きアクセスで IP アドレス制限を行う場合や Microsoft Entra Identity Protection を利用したサインインリスクに応じたアクセス制御を行うことが出来るようになります。
※設定画面

※元のソース IP はサインインログに反映される

https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-source-ip-restoration

Web コンテンツフィルタリング(Public Preview)

Web コンテンツフィルターカテゴリが Learn に追加されました
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-web-content-filtering-categories
設定については以下の記事をご参照ください
https://zenn.dev/microsoft/articles/54f2832a04c9b0
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering

アクセスポイント(ポイントオブプレゼンス)

プレビュー中は限られた場所のみが利用できます
2023 年 12 月時点で日本(東京)が追加されています
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-points-of-presence

データの処理と場所

データ保持期間:24時間
エンリッチされたログ:Azure Event Hub へ格納
データ処理の場所:ヨーロッパ(ヨーロッパ顧客のみ) or US(ヨーロッパ以外の顧客)
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-data-storage-and-privacy

今後も随時 Update かけていきます!

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion