Entra Private Accessをいじってみた

SCUGJ 第45回勉強会 ロゴ作成中 2025/3/15 Windows Server and Cloud User Group Japan 後藤 諭史（Satoshi GOTO）

ロゴ作成中 後藤 諭史（ Satoshi GOTO ）  国内SIerでプリセールスやっています  仮想化製品が主な専門分野です。 が、基本的には雑用係   Microsoft MVP - Cloud and Datacenter Management （Jul.2012 - Jun.2025） Microsoft MVP – Microsoft Azure（Jul.2024 - Jun.2025） 2

ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証／結果を基に記載しています。 あくまで個人の意見／見解であり、所属する会社の正式な回答／見解ではない事に留意してください。 3

ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日（2025/03/15）時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 4

ロゴ作成中  無条件の信用はもう存在しない ◦ ◦ ゼロトラストネットワーク → かならず検証して確認せよ（どうやって？） 境界型ネットワークの限界 → 境界の内側のデバイスやユーザーを本当に信用していいのか？ → 境界の外側にいるテレワークユーザーは……？  VPNをどうにかしたい ◦ ◦ ◦ 境界の外側にいるテレワークユーザーを無条件に信頼していいの？ VPN装置という攻撃対象領域（Attack Surface） → VPN装置（Firewall）の脆弱性がよく狙われます → 攻撃対象となるグローバルIPアドレスをもつ機器を極力減らしたい VPN接続の認証をがっちがちにしてあげれば、あとは信頼してもいいの？ 今回はこちら  ほかにもいろいろありますが…… 5

ロゴ作成中 これって、Microsoftのソリューションで 実現できるんだっけ？ 6

ロゴ作成中  Microsoft のセキュリティ サービス エッジ (SSE) ソリューション  以下の2つのサービスから構成 ◦ ◦ Microsoft Entra Internet Access（EIA） Microsoft Entra Private Access （EPA）  Microsoft Entra Internet Access（EIA）は、 Entra IDと連携されたセキュ リティで保護されたWebゲートウェイ（SWG）を提供し、ユーザーを安 全ではないコンテンツや非準拠コンテンツから守りながら、Webセキュリ ティを提供  Microsoft Entra Private Accessは、 Entra IDと連携されたアプリケーショ ンプロキシを提供し、インターネットからのセキュリティが担保された社 内リソースへのアクセスを提供 今回はこちら 7

ロゴ作成中 管理者の任意で ON/OFF可 8

ロゴ作成中  基本的にはクライアントにエージェントをインストールする  サポートクライアントOSは以下の通り ◦ ◦ ◦ ◦ Windows 10/11 Android （10.0以降） iOS（Preview）（iOS 15.0以降） macOS（Preview）（macOS Ver.13以降）  すべてのデバイスで、Microsoft Entraに登録されていることが前提 （WindowsクライアントはEntra joinが必要、他はIntune等で管理されたマ ネージドデバイスであること） 9

ロゴ作成中 認証 Microsoftサービス/ インタ－ネット通信 App Proxy Connector グローバル セキュア アクセス クライアント（エージェント） インストール Microsoft Entra Internet Access App Proxy Connector 443/TCP 同期 443/TCP Microsoft Entra Private Access 要 Microsoft Entra hybrid join or Microsoft Entra join イントラネット通信 （プライベートアクセス） ドメイン参加 10

ロゴ作成中 デモ： イントラネットサーバーへのRDP接続 11

ロゴ作成中 MicrosoftEntraPrivateNetworkConnectorService.exe mstsc.exe 192.168.100.39 3389/TCP 443/TCP 150.171.15.10 443/TCP GlobalSecureAccessTunnelingService.exe Microsoft Entra Private Access 192.168.100.39 3389/TCP 192.168.100.47 クライアントPC内 • ルートテーブルなどは通常通りだったところから、ネットワークドライバーに近 いレイヤーで「GlobalSecureAccessTunnelingService.exe」がポリシーにマッチ したパケットをフックし、トンネリング処理を実施していると考えられる。 • プライベートアクセス先は、コネクタ発の443/TCPのトンネルを利用して Microsoft Entra Private Accessサービスから転送されてきたパケットを自身発の パケットとしてターゲットサーバーに転送することで、通信を成立させている。 192.168.100.47のnetstat 12

ロゴ作成中 4つのサービスが導入される。実行ユーザーはローカルシステム 13

ロゴ作成中  グローバルセキュアアクセスのLWFドライバーが導入される グローバルセキュアアクセスクライアントの トラフィックを取得する LWF ドライバー 14

ロゴ作成中 ユーザー権限で、エージェント停止可能 （社内ネットワーク接続時等に、明示的に停止可能） この3つのサービスが停止 「Global Secure Access Client Manager Service」は不停止 15

ロゴ作成中  「監視」→「トラフィックログ」→「プライベートアクセス」で参照可能 16

ロゴ作成中  送信元プロセス、通信プロトコルまで可視化 ユーザー名等取得 送信元プロセス UDP可 17

ロゴ作成中 プライベートネットワークコネクタのインストール コネクタグループの作成 エンタープライズ アプリケーションの作成 条件付きアクセスの設定 18

ロゴ作成中  オンプレミスに設置する、Microsoft Entra Private Access及びアプリケーション プロキシサービスへの軽量なエージェント  プライベートネットワーク上のリソースへのアクセスは、このコネクタを介して 実施される  そのため、高可用性を実現するために2台のコネクタを導入することも可能 （本番環境では冗長化を推奨）  ネットワーク要件としては、インターネット（AzureやGSAのサービス）に対し て80/TCP、443/TCPを開けるだけで問題なし。インバウンド（インターネットへ の公開）ルールは不要  同一プライベートネットワーク内に複数のコネクタ（およびグループ）を展開す ることも可能。アプリケーション単位で展開することも可能 19

ロゴ作成中  Windows Server 2012R2以降であればインストール可能  その他のソフトウェア要件は以下の通り ◦ ◦ ◦ 最小 .NET バージョンは v4.7.1 以上 Windows Server 2019以降にインストールする場合はHTTP 2.0を無効化 TLS1.2を有効化  ドメイン参加は任意。ただしアプリケーションで統合Windows認証を使用 する場合には、要ドメイン参加  インターネット接続の際にプロキシが必須であるネットワークでもコネク タは使用可能。ただし、以下の点に注意する必要あり ◦ ◦ 認証機能付きプロキシーは非サポート プロキシーのTLSインスペクション機能は使用不可 20

ロゴ作成中 【HTTP 2.0 の無効化】 Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\’ ` -Name EnableDefaultHTTP2 -Value 0 【TLS 1.2 の有効化】 New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2' New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ ` -Name DisabledByDefault -Value 0 Set-ItemProperty ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ ` -Name Enabled -Value 1 Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ ` -Name DisabledByDefault -Value 0 Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ ` -Name Enabled -Value 1 ※ レジストリキー追加後は、要再起動 21

ロゴ作成中  エンタープライズアプリケーションに接続するための単体もしくは複数の コネクタをまとめるグループを作成  同一コネクタグループに複数のコネクタが存在する場合、すべてのコネク タが使用されるために可用性が向上する  作成時に地域を指定することで トラフィックフローを最適化 可能。無指定の場合はテナントの 場所に従って設定  アプリケーション単位、地域単位 等でグループを作成し、適用 22

ロゴ作成中  アプリケーション名、接続するためのコネクタグループを指定し、アプリ ケーションの接続先とプロトコルを指定して作成  ささっとテストしてみたい場合は、「クイックアクセス」にアプリケー ションをセグメントを作成することで使用可能 エンタープライズアプリケーションの作成 クイックアクセス設定 23

ロゴ作成中  条件付きアクセスは、エンタープライズアプリケーション作成後に改めて 作成 24

ロゴ作成中  HTTPSのアウトバウンド通信のみで実装可能で、Entraの条件付きアクセスでコント ロールできるため、VPNの代替として非常に有用です  UDPも使用可能なので安心（Previewの時はTCPオンリーでした）  Entra P1とEntra SuiteないしはEPAのスタンドアロンライセンスが必要なので、若干ラ イセンス的なハードルが高いかも……。すでにM365 E3やBPなどを使用中であれば、 Entra SuiteないしはEPAのスタンドアロンライセンスでOKなのでおすすめ 25

ロゴ作成中  Global Secure Access に関するドキュメント https://learn.microsoft.com/ja-jp/entra/global-secure-access/  Microsoft Entra Private Access について学習する https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-private-access  グローバル セキュリティで保護されたアクセスに関する既知の制限事項 https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-current-known-limitations 26

• https://learn.microsoft.com/ja-jp/entra/global-secure-access/
• https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-private-access
• https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-current-known-limitations

ロゴ作成中 27