10.3K Views
February 25, 24
スライド概要
MicrosoftのSSEソリューションで、Proxyとして利用可能なMicrosoft Entra Internet Accessの利用方法について、記載しています。
.NETラボ 2024 02月勉強会 小鮒 通成
自己紹介です 都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Enterprise Mobility→Securityを受賞していま す(MVP受賞回数21回+α)。 秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。
Microsoft Entraブランド Azure ADからMicrosoft Entra IDへの名称変更 オンプレADとの違いの明確化 クラウド認証基盤の別ブランド化 Microsoft Entraファミリーの再編(一部) Microsoft Entra ID Governance Microsoft Entra External ID Microsoft Entra Verified ID Microsoft Entra Permissions Management Microsoft Entra Internet Access Microsoft Entra Private Access
Microsoftが考えるゼロトラスト Azureにおける6つの基本要素 ID(アイデンティティ) エンドポイント データ アプリケーション インフラストラクチャ ネットワーク 可視性を高め、自動化やオーケストレーションを推進 ゼロ トラストとは | Microsoft Learn
VPNとゼロトラスト VPNのセキュリティリスク 社内ネットワークに入られたら内部リソース見放題 アカウントの権限が小さくても商用情報は剽窃可能 小さな権限から大きな権限を取得するクラック手法の一般化 VPNのネットワークオーバーヘッド インターネットアクセスをVPN経由にすることでのパフォーマンス 低下 外部経由のインターネットアクセスのフィルタリング・ロギングは本 当に有用なのか VPNを「やめる」ことがゼロトラストの推進につながる AVD for Azure Stack HCIを採用 Microsoft Entra Application Proxyの採用 Microsoft Entra Internet Access / Private Accessの採用
MEIAとMEPA Global Secure Accessとは オンプレミスに存在したVPN機器のSaaS化のイメージ AzureのWAN(バックボーンネットワーク)を使用して「プレ ゼンスポイント」から提供される。 Microsoft Entra Internet Access クライアントがGSA経由して、Microsoft 365や、サードパー ティのクラウドや任意のインターネットアクセスを可能にする。 Microsoft Entra Private Access GSA内部にプライベートエンドポイントを設定し、SaaSやオ ンプレミスのサーバー・アプリにアクセスを可能にする。
Microsoft Entra Internet Accessと は GSA(Global Secure Access)経由で、Microsoft 365アプ リおよび外部インターネットリソースにアクセス Microsoft 365/Internet 接続のルーティングポリシー(プ ロファイル)を有効化する 最初からP2SでVPN接続されているため、ネットワークの オーバーヘッドが非常に少ない Proxy機能としてのフィルタリング・ロギングが可能 上記プロファイル(=ネットワークルーティング)に対して「条 件付きアクセス」での多要素ベースの認可条件付けが可 能
GSAとは いわゆるSecurity Service Edge機能。クライアントはP2Sまたは S2Sで、ポイント オブ プレゼンスで指定された、近い場所に接 続される。 P2Sの場合、クライアントはGSA Clientのインストールが必要。 Windows/Android/iOS/MacOSに対応。S2Sの場合、 IPsec/IKEによるVPN接続を構成するためClientは不要。 GSAが接続すると、以下の機能で通信データを保護する。 トラフィック転送プロファイル(ルーティングポリシー) ユニバーサルテナント制限(外部テナント認証によるアプリ利用 の禁止) ユニバーサル条件付きアクセス(トラフィック転送プロファイルへ の条件付きアクセス) Defender for Cloud Appと連携し、CASBとして機能する。
前提条件 Microsoft Entra ID Premium 1 or 2の契約が必要 WindowsデバイスはMicrosoft Entra Joinあるいは Microsoft Entra Hybrid Joinのみ(Device登録は不可) MacOS/iOS/Androidデバイスも対応可能
検証環境 Windows Server vNext ドメインコントローラー Windows Server vNext ファイルサーバー (SMB) Windows 11クライアント Azureポータルでカスタムドメイン名を構成 Microsoft Entra ID Premium 2を有効 Office 365 E3を有効
Azureでのカスタムドメインの構成 Azureポータルでカスタムドメイン名を構成。オンプレミス ADのDNS名と同一のモノをAzure DNSに設定。
オンプレミス環境の構成 ドメインコントローラーの構成。Microsoft Entra Connect を追加インストール。 クライアントの構成。
GSAの有効化 「Microsoft Entra管理センター」からGSAを有効化する GSA管理者以上のロールでサインインしていること Entra ID P1 or P2ライセンスを持っていること
Microsoft 365 Accessプロファイルの 有効化 [セキュリティで保護されたグローバルアクセス(プレ ビュー)]- [接続]-[トラフィック転送]から、設定
Microsoft 365 Accessプロファイルの 有効化
Internet Accessプロファイルの有効化 [セキュリティで保護されたグローバルアクセス(プレ ビュー)]- [接続]-[トラフィック転送]から、設定
条件付きアクセスの構成 トラフィックプロファイルに条件付きアクセスを設定する。 [アプリケーション設定を編集する] –[条件付きアクセス][新しいポリシー]から操作。 user00だけを対象とする(ライセンスを保持している) 多要素認証を強要する(ない場合はセットアップ) Microsoft Entra Hybrid参加デバイスのみでのアクセスと する セキュリティプロファイルを使用する(Web Filterのため) セキュリティの既定値群は「無効」にすること!
条件付きアクセスの構成
GSAクライアントの導入 [セキュリティで保護されたグローバルアクセス(プレビュー)][接続]-[クライアントのダウンロード]から、ダウンロード。 Windows 10/11・Android 8.0以降・iOS・MacOSに対応。iOS とMacOSはアーリーアクセス。Windowsの登録済みデバイス では機能しない。
GSAクライアントの導入 “GlobalSecureAccessClient.exe”をインストール。インストール とトラブルシュート時のみローカル管理者権限が必要な認識。 インストール後Entra ID認証が必要。
アクセス結果 Office 365オンプレミス シームレスに認証された。(認証済みのため) インターネット 通常にアクセス、認証された(G mail)。
内部通信はどうなっている? FQDNが変更される。問い合わせFQDNはテナントDNS 名のプレフィックス(前方ラベル)として加えられる。 名前が変わるため、IPアドレスも内部向けに変更される。
GSAを止めてみたら… GSAを停止させると、通常のインターネットアクセスと同様に なってしまう。「GSA経由のみ」のOffice 365利用を強制したい。 [Enable Global Secure Access signaling in Conditional Access]を有効化する Office 365に対して条件付き アクセスで、[All Compliant Network locations]を除く [すべての場所]でブロック する
Office 365の条件付きアクセス
アクセス結果 Office 365 GSAオンはアクセス可能、GSAオフはポリシーブロック インターネット 状況は変わらず。Entra IDに登録されたSaaSが制御可能
GSAのロギンク [モニター]-[トラフィックログ] から閲覧可能。 ソースIPを正確に知るにはGSA signaling in Conditional Accessを有効にすること
Web Filtering(FQDN) [安全な]-[Webコンテンツフィルターポリシー] から、ポリ シーを作成する。FQDNではアスタリスクも使用可能。
Web Filtering(webカテゴリ) [安全な]-[Webコンテンツフィルターポリシー] から、ポリ シーを作成する。既存のカテゴリーを使用する。
Web Filtering(有効化) [安全な]-[セキュリティプロファイル] から、ポリシーをリン クする。有効化も忘れずに。
アクセス結果 FQDN Yahoo Japan/Yahoo USAをブロック Webカテゴリー テクニカルフォーラム…ではなく、2ちゃんねるをブロック!
Web Filteringのカテゴリー Type Liability Categories Type Categories Type Categories Alcohol And Tobacco Nudity Child Abuse Images Pornography And Sexually Explicit Criminal Activity Self Harm Computers And Technology Dating And Personals Sex Education Education Gambling Tasteless Finance Hacking Violence Forums And Newsgroups Hate And Intolerance Weapons Government Image Sharing Health And Medicine Illegal Software Peer To Peer Job Search Lingerie And Swimsuits Streaming Media And Downloads News Marijuana Download Sites Non Profits And Ngos Illegal Drug HighBandwidth Entertainment BusinessUse Business
Web Filteringのカテゴリー2 Type BusinessUse Categories Categories Type Categories Personal Sites Instant Messaging Restaurants And Dining Private IP Addresses Shopping Sports Professional Networking Social Networking Transportation Arts Travel Search Engines And Portals Productivity Type GeneralSurfing Uncategorized Uncategorized Security Remote Access Translators Fashion And Beauty Web Repository And Storage General Web Based Email Leisure And Recreation Malware Advertisements And Pop Ups Nature And Conservation Cryptocurrency Mining Chat Politics And Law Anonymizers Cults Real Estate Web Phone Games Religion Web Meetings
Web Filteringのカテゴリー3 Type Categories Security Phishing And Fraud Compromised Parked Domains Botnets Type Categories Type Categories
まとめ ゼロトラストを高度に実現するためには、MEIAは大変有 用なソリューションである。多少の追加コストはかかるが、 オンプレミスにProxy機器がなくても、ロギングやWebフィ ルタリングを実現できる。 大変設定しやすい構成だが、条件付きアクセスポリシー を複数構成しないと、GSAトラフィックを強制させることが 難しい。GSAクライアントのUIを通知領域から不可視に するしかないのか…。 Webフィルタリングは意外と使えそう。ログ類の検出を Azure WorkBookで行える機能 (未実装)など、先々楽し みに思えてくる。
参考情報 Microsoft Entra のドキュメント | Microsoft Learn Global Secure Access の概要 (プレビュー) - Global Secure Access | Microsoft Learn Global Secure Access のポイント オブ プレゼンス - Global Secure Access | Microsoft Learn Microsoft 365 概念実証用 Microsoft Entra Internet Access 用 Microsoft Security Service Edge ソリューション展開ガイド Microsoft Entra | Microsoft Learn グローバル セキュア アクセス (プレビュー) Web コンテンツ フィルターを構成する方法 - Global Secure Access | Microsoft Learn