Zenn
📑

Microsoft Entra Suite はどううれしいのかを想像してみる

2024/08/05に公開
Security
networking
Microsoft Entra
ztna
tech

TL;DR

  • Microsoft Entra Private Access と Microsoft Entra Internet Access は Microsoft Entra Suite というセットになったけどその意味について考えてみ隊
  • PIM と組み合わせると、一部のネットワークに対して、ワークフローを経由して承認したときのみ、一定時間だけ、アクセスを許可できる、とてもユニークな機能だと思う
  • Microsoft Entra ID P2 前提で考えられるし、一方で Microsoft 365 E3 で提供される Microsoft Intune と組み合わせるとかなりリスクを低減するソリューションが考えられる

はじめに

Microsoft Entra Suite が 2024年07月 に GA しました!
というか、Microsoft Entra Private Access (MEPA) と Microsoft Entra Internet Access (MEIA) という 2 つの製品の GA を待っていたら Microsoft Entra Suite という製品群として GA したのでちょっとびっくりしました。
Microsoft Entra Suite は Microsoft 365 E3 のように複数のプロダクトが含まれるスイート (日本語だとマクドナルドの ~セット みたいな感じ) なので、じゃあなんでこの製品群がセットになっているのかを少し考えてみようと思います。

Microsoft Entra Suite に含まれているプロダクト

Microsoft Entra Suite が一般提供 (GA) されましたMicrosoft Entra Suite が GA されました にあるように、Microsoft Entra Suite には以下のプロダクトが含まれています。
せっかくなので、その中に入っている特徴的な機能についても Microsoft Entra Plans and Pricing | Microsoft Security を参考に補足してみます。

  • Microsoft Entra Private Access
    いわゆる ZTNA を提供してくれる
  • Microsoft Entra Internet Access
    いわゆる SWG を提供してくれる
  • Microsoft Entra ID Governance
    • Machine learning-assisted access certifications and reviews
      ほんとにこの権限まだいる?みたいなアクセス レビューを送り付けることができます、かつそこに機械学習のぱわぁが
    • Entitlement management custom extensions (Logic Apps)
      SaaS の権限とかをがばーっと管理するような機能、かつそれを Logic Apps でローコードで自動化できる
    • Lifecycle workflows
      従業員が入社してアカウントが作られて、ロールチェンジして権限が変わって、退職してアカウントを無効化してそのうち消して、みたいなのが作れる
    • Privileged identity management (PIM)
      後述します
  • Microsoft Entra ID Protection
    • Risk-based conditional access
      後述します
    • Device and application filters for conditional access
      後述します
    • Vulnerabilities and risky account detection
      アカウントがやべぇ状態にないかどうかを判断してくれます
  • Microsoft Entra Verified ID

Microsoft Entra ID Governance との組合せ

Microsoft Entra ID Governance は Microsoft Entra ID Governance - Microsoft Entra ID Governance にあるような機能を提供しますが、そのなかで MEPA などと親和性が高いのは Privileged identity management (PIM) です。

Privileged identity management との組合せ

PIM は、基本的には特権アクセスを一時的に付与するためのワークフローを提供する機能ではありますが、技術的にはあらゆるロールに対する一時的な権限付与が可能です。
そのため、MEPA と組み合わせると、ネットワークの一部、たとえばそこが個人情報を扱うために高いセキュリティ レベルが求められる際に、ワークフローを経由して一時的にアクセスを許可する、といったことが可能です。
Privileged Identity Management (PIM) とグローバル セキュア アクセスを使用してプライベート アプリケーションへのアクセスをセキュリティで保護する - Global Secure Access に詳しい内容が書いてあります。
また、定期的に「Your weekly PIM digest」のようなメールが飛んでくるので、PIM の利用状況についても把握しやすいです。

Microsoft Entra ID Protection との組合せ

Microsoft Entra ID Protection は Microsoft Entra ID Protection とは - Microsoft Entra ID Protection にあるような機能を提供します。
一例として、リスク検出、の場合には、条件付きアクセスの条件の中で User risk や Sign-in risk という追加の条件を利用することができるようになります。
画面のイメージは リスク ポリシー - Microsoft Entra ID Protection にありますが、条件付きアクセスの中に完全に統合されているため、個別の機能としては認識しづらいかもしれません。
例としては、id/password が仮に盗まれてしまって悪い人がログインしている場合、普段ログインしている場所、デバイスの種類などからリスクの高さを判断して、仮に id/password が合っていてもアクセスを拒否したり追加の MFA を要求する、といったことが可能です。

Microsoft Intune との組合せ

正確には Microsoft Entra Suite は Microsoft Entra ID P1/P2 の延長にあるため Microsoft Intune は含まれていませんが、Microsoft 365 E3 を導入している企業も多いだろうということで補足しておきます。
Microsoft Intune 自体の MDM/MAM の機能自体もあるのですが、Microsoft Entra Suite 群との組合せということではやはり条件付きアクセスの中で Intune 準拠済み、という条件が使えるようになる点が挙げられます。

まとめ

リスク = ユーザー (リテラシー) x ネットワーク x ID x デバイス と考えたときに、Microsoft Entra Suite を利用することで ID を強力に守り、その強力な ID を礎とした柔軟でセキュアなネットワーク アクセスを実現できます。
加えて、Microsoft 365 E3 の導入を前提として加えると、Microsoft Intune も利用できるため、デバイスの部分についてもリスクを低減できます。
利便性とセキュリティはトレードオフになることが多いですが、少なくとも MEPA は便利で、かつセキュア、というそのいいところどりができている製品だと感じています。

んじゃああとはユーザーのリテラシーですね、ということとなり、まぁ、ここに関しては mslearn 見ていただいてもいいんですがなかなか定着は難しいよね、という話になるんですが。。

参考

  • Microsoft Entra Suite が一般提供 (GA) されました

    Microsoft Entra ID のサポートの方による抄訳です

https://jpazureid.github.io/blog/azure-active-directory/microsoft-entra-suite-now-generally-available/

  • Microsoft Entra Suite が GA されました

    日本マイクロソフトでセキュリティ系プロダクトの技術営業をやっている方のブログです、内容はぼちぼち似通っているかと思います、わたしが 2 番煎じです

https://zenn.dev/shmatsuy/articles/e79fc90a254505

  • Microsoft Entra Plans and Pricing | Microsoft Security

    いっつも見ている Microsoft Entra Suite の金額表、やっと日本語でも Microsoft Entra Suite が出てくるようになった、あと意外と PIM って Microsoft Entra ID Goernance の一部なんだねって知らなかった

https://www.microsoft.com/security/business/microsoft-entra-pricing

  • Microsoft Entra とは何ですか? - Microsoft Entra

    「たとえば、」で始まる例で説明されており、ざーっと各機能を理解するのには良い感じです。

https://learn.microsoft.com/entra/fundamentals/what-is-entra

  • Microsoft Entra ID Governance - Microsoft Entra ID Governance

https://learn.microsoft.com/entra/id-governance/identity-governance-overview?wt.mc_id=MVP_391314

  • Privileged Identity Management (PIM) とグローバル セキュア アクセスを使用してプライベート アプリケーションへのアクセスをセキュリティで保護する - Global Secure Access

https://learn.microsoft.com/entra/global-secure-access/how-to-configure-global-access-with-pim?wt.mc_id=MVP_391314

  • Microsoft Entra ID Protection とは - Microsoft Entra ID Protection

https://learn.microsoft.com/entra/id-protection/overview-identity-protection?wt.mc_id=MVP_391314

  • リスク ポリシー - Microsoft Entra ID Protection

https://learn.microsoft.com/entra/id-protection/howto-identity-protection-configure-risk-policies?wt.mc_id=MVP_391314

  • NECが顔認証と分散型IDを組み合わせたデジタル社員証を国内社員約2万人に展開開始、「Microsoft Entra Verified ID」活用で目指す未来社会

https://customers.microsoft.com/ja-jp/story/1782296450638482451-nec-microsoft-entra-verified-id-professional-services-ja-japan

Update log

  • Microsoft Entra の概要ページへのリンクを追加 - 2024/08/09

Discussion