3.3K Views
January 30, 24
スライド概要
VPNを使わずに、任意のTCPアプリを外部からアクセスできるMicrosoft Entra Private Accessの構築方法を記載しています。
.NETラボ 2024 01月勉強会 小鮒 通成
自己紹介です 都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Enterprise Mobility→Securityを受賞していま す(MVP受賞回数21回+α)。 秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。
Microsoft Entraブランド Azure ADからMicrosoft Entra IDへの名称変更 オンプレADとの違いの明確化 クラウド認証基盤の別ブランド化 Microsoft Entraファミリーの再編(一部) Microsoft Entra ID Governance Microsoft Entra External ID Microsoft Entra Verified ID Microsoft Entra Permissions Management Microsoft Entra Internet Access Microsoft Entra Private Access
Microsoftが考えるゼロトラスト Azureにおける6つの基本要素 ID(アイデンティティ) エンドポイント データ アプリケーション インフラストラクチャ ネットワーク 可視性を高め、自動化やオーケストレーションを推進 ゼロ トラストとは | Microsoft Learn
VPNとゼロトラスト VPNのセキュリティリスク 社内ネットワークに入られたら内部リソース見放題 アカウントの権限が小さくても商用情報は剽窃可能 小さな権限から大きな権限を取得するクラック手法の一般化 VPNのネットワークオーバーヘッド インターネットアクセスをVPN経由にすることでのパフォーマンス 低下 外部経由のインターネットアクセスのフィルタリング・ロギングは本 当に有用なのか VPNを「やめる」ことがゼロトラストの推進につながる AVD for Azure Stack HCIを採用 Microsoft Entra Application Proxyの採用 Microsoft Entra Internet Access / Private Accessの採用
MEIAとMEPA Global Secure Accessとは オンプレミスに存在したVPN機器のSaaS化のイメージ AzureのWAN(バックボーンネットワーク)を使用して「プレ ゼンスポイント」から提供される。 Microsoft Entra Internet Access クライアントがGSA経由して、Microsoft 365や、サードパー ティのクラウドや任意のインターネットアクセスを可能にする。 Microsoft Entra Private Access GSA内部にプライベートエンドポイントを設定し、SaaSやオ ンプレミスのサーバー・アプリにアクセスを可能にする。
Microsoft Entra Private Accessとは GSA(Global Secure Access)経由で、任意のTCPアプリを Microsoft Entra IDの認証認可でアクセス(外部には公 開しない) Microsoft Entra IDに専用アプリとして自動登録(クイック アクセス)EAアプリとして登録(GSAアプリ) Microsoft Entra (Hybrid) Joined環境があれば外部から VPNで繋ぎ込む必要なし 「条件付きアクセス」での多要素ベースの認可条件付け が可能
GSAとは いわゆるSecurity Service Edge機能。クライアントはP2Sまたは S2Sで、ポイント オブ プレゼンスで指定された、近い場所に接 続される。 P2Sの場合、クライアントはGSA Clientのインストールが必要。 Windows/Android/iOS/MacOSに対応。S2Sの場合、 IPsec/IKEによるVPN接続を構成するためClientは不要。 GSAが接続すると、以下の機能で通信データを保護する。 トラフィック転送プロファイル(ルーティングポリシー) ユニバーサルテナント制限(外部テナント認証によるアプリ利用 の禁止) ユニバーサル条件付きアクセス(トラフィック転送プロファイルへ の条件付きアクセス) Defender for Cloud Appと連携し、CASBとして機能する。
クイックアクセスアプリ/GSAアプリとは MEPAでプライベートエンドポイントとして機能する、Web アプリ。透過的に動作するため、ブラウザでアクセスする ことはない。 単純な構成(単一ネットワークや条件付きアクセスが同一 のサービス群)の場合はクイックアクセスアプリを利用する。 複雑な構成(複数ネットワークやアプリごとに条件付きアク セスが異なる)の場合はGSAアプリを複数利用する。 クイックアクセスアプリ/GSAアプリの内部に、利用したい サーバー名やプロトコル、ネットワーク帯を登録する。 条件付きアクセスポリシーは、このアプリに対して実施。
アプリプロキシコネクタとは オンプレミス側でアプリプロキシコネクタと呼ばれるエー ジェントでMicrosoft Entra IDに内側からコネクションを張 る(従来のApplication Proxy Connectorと同じ) Microsoft Entra ID認証が通ったあと、そのコネクション を使ってConnectorの仲立ちによるアプリとのプロキシ通 信を行う 「Kerberosの制限付き委任」設定については、特に指定 はない 基本的には、サービスをホストするサーバーに直接インス トールする(同ネットワーク内なら違ってもOK)
前提条件 Microsoft Entra ID Premium 1 or 2の契約が必要 以下アプリプロキシコネクタ .NET Framework 4.7.1以降が必要 TLS 1.2以降が必要 80/tcpおよび443/tcpのアウトバウンド接続が必要 指定URLのフィルタリングがないこと Tutorial - Add an on-premises app - Application Proxy in Microsoft Entra ID - Microsoft Entra | Microsoft Learn
検証環境 Windows Server vNext ドメインコントローラー Windows Server vNext ファイルサーバー (SMB) Windows 11クライアント Azureポータルでカスタムドメイン名を構成 Microsoft Entra ID Premium 2を有効
Azureでのカスタムドメインの構成 Azureポータルでカスタムドメイン名を構成。オンプレミス ADのDNS名と同一のモノをAzure DNSに設定。
オンプレミス環境の構成 ドメインコントローラーの構成。Microsoft Entra Connect を追加インストール。 ファイルサーバーの構成。共有/NTFSアクセス許可。 クライアントの構成。
アプリプロキシコネクタのインストール ドメインコントローラー上で、ダウンロードしたコネクタイン ストール。Azure管理者アカウントを指定するだけ。
GSAの有効化 「Microsoft Entra管理センター」からGSAを有効化する GSA管理者以上のロールでサインインしていること Entra ID P1 or P2ライセンスを持っていること
クイックアクセスアプリの構成 [セキュリティで保護されたグローバルアクセス(プレ ビュー)]- [アプリケーション]-[クイックアクセス]から設定 IPアドレス/IPサブネット/FQDNで設定が可能。複数のプ ロトコル(アプリケーションセグメント)を構成できる。
ユーザー割り当ての構成 クイックアクセスアプリにユーザ割り当てを行う。 クイックアクセスの画面内にある[アプリケーション設定を 編集する]から操作。 対象ユーザーにEntra ID Premiumのライセンスを事前 に割り当てておくこと。
条件付きアクセスの構成 クイックアクセスアプリに条件付きアクセスを設定する。 [アプリケーション設定を編集する] –[条件付きアクセス][新しいポリシー]から操作。 user00だけを対象とする(ライセンスを保持している) 社内外、問わず全部の場所を対象とする 多要素認証を強要する(ない場合はセットアップ) Microsoft Entra Hybrid参加デバイスのみでのアクセスと する セキュリティの既定値群は「無効」にすること!
条件付きアクセスの構成
Private Accessプロファイルの有効化 [セキュリティで保護されたグローバルアクセス(プレ ビュー)]- [接続]-[トラフィック転送]から、設定
GSAクライアントの導入 [セキュリティで保護されたグローバルアクセス(プレビュー)][接続]-[クライアントのダウンロード]から、ダウンロード。 Windows 10/11・Android 8.0以降・iOS・MacOSに対応。iOS とMacOSはアーリーアクセス。Windowsの登録済みデバイス では機能しない。
GSAクライアントの導入 ダウンロードした“GlobalSecureAccessClient.exe”をインストー ル。前提条件にはローカル管理者権限が必要(とある)。 インストール後Entra ID認証が必要。
アクセス結果 オンプレミス 初めてのアクセス時のみ、多要素認証セットアップが強制 される。2回目以降は、シームレスに認証された。
アクセス結果 インターネット 再起動含め、何度実行してもシームレスに認証された。
内部通信はどうなっている? ping <fqdn>で確認したところ、オンプレミスは認証後は 内部IPアドレスにリダイレクトし、直接通信している。 インターネットはpingは通らなかったため、アプリプロキシ コネクタ経由で通信する理解。
まとめ ゼロトラストを高度に実現するためには、MEPAは大変有 用なソリューションである。多少の追加コストはかかるが、 オンプレミスのネットワーク機器がなくても、内部リソースを 外部からアクセスできる。 大変設定しやすい構成のうえ、認証はシームレス、セキュ リティ的に強固な内容(CASBも含む)をソフトウェアで実現 できる。画期的といえる。 条件付きアクセスやMDM管理で、非Windowsデバイス のアクセスも可能なため、オンプレVPN卒業の決定版と いえる。Entra ID Premium1が大量に必要なケースだけ が問題といえそう。
参考情報 Microsoft Entra のドキュメント | Microsoft Learn Global Secure Access の概要 (プレビュー) - Global Secure Access | Microsoft Learn Global Secure Access のポイント オブ プレゼンス Global Secure Access | Microsoft Learn Microsoft Entra Private Access 用にコネクタを構成する 方法 - Global Secure Access | Microsoft Learn Global Secure Access のクイック アクセスを構成する方 法 - Global Secure Access | Microsoft Learn