Entra Private Accessをいじってみた

1.4K Views

March 16, 25

スライド概要

profile-image

主に勉強会の資料を公開しています。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

SCUGJ 第45回勉強会 ロゴ作成中 2025/3/15 Windows Server and Cloud User Group Japan 後藤 諭史(Satoshi GOTO)

2.

ロゴ作成中 後藤 諭史( Satoshi GOTO )  国内SIerでプリセールスやっています  仮想化製品が主な専門分野です。 が、基本的には雑用係   Microsoft MVP - Cloud and Datacenter Management (Jul.2012 - Jun.2025) Microsoft MVP – Microsoft Azure(Jul.2024 - Jun.2025) 2

3.

ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社の正式な回答/見解ではない事に留意してください。 3

4.

ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日(2025/03/15)時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 4

5.

ロゴ作成中  無条件の信用はもう存在しない ◦ ◦ ゼロトラストネットワーク → かならず検証して確認せよ(どうやって?) 境界型ネットワークの限界 → 境界の内側のデバイスやユーザーを本当に信用していいのか? → 境界の外側にいるテレワークユーザーは……?  VPNをどうにかしたい ◦ ◦ ◦ 境界の外側にいるテレワークユーザーを無条件に信頼していいの? VPN装置という攻撃対象領域(Attack Surface) → VPN装置(Firewall)の脆弱性がよく狙われます → 攻撃対象となるグローバルIPアドレスをもつ機器を極力減らしたい VPN接続の認証をがっちがちにしてあげれば、あとは信頼してもいいの? 今回はこちら  ほかにもいろいろありますが…… 5

6.

ロゴ作成中 これって、Microsoftのソリューションで 実現できるんだっけ? 6

7.

ロゴ作成中  Microsoft のセキュリティ サービス エッジ (SSE) ソリューション  以下の2つのサービスから構成 ◦ ◦ Microsoft Entra Internet Access(EIA) Microsoft Entra Private Access (EPA)  Microsoft Entra Internet Access(EIA)は、 Entra IDと連携されたセキュ リティで保護されたWebゲートウェイ(SWG)を提供し、ユーザーを安 全ではないコンテンツや非準拠コンテンツから守りながら、Webセキュリ ティを提供  Microsoft Entra Private Accessは、 Entra IDと連携されたアプリケーショ ンプロキシを提供し、インターネットからのセキュリティが担保された社 内リソースへのアクセスを提供 今回はこちら 7

8.

ロゴ作成中 管理者の任意で ON/OFF可 8

9.

ロゴ作成中  基本的にはクライアントにエージェントをインストールする  サポートクライアントOSは以下の通り ◦ ◦ ◦ ◦ Windows 10/11 Android (10.0以降) iOS(Preview)(iOS 15.0以降) macOS(Preview)(macOS Ver.13以降)  すべてのデバイスで、Microsoft Entraに登録されていることが前提 (WindowsクライアントはEntra joinが必要、他はIntune等で管理されたマ ネージドデバイスであること) 9

10.

ロゴ作成中 認証 Microsoftサービス/ インタ-ネット通信 App Proxy Connector グローバル セキュア アクセス クライアント(エージェント) インストール Microsoft Entra Internet Access App Proxy Connector 443/TCP 同期 443/TCP Microsoft Entra Private Access 要 Microsoft Entra hybrid join or Microsoft Entra join イントラネット通信 (プライベートアクセス) ドメイン参加 10

11.

ロゴ作成中 デモ: イントラネットサーバーへのRDP接続 11

12.

ロゴ作成中 MicrosoftEntraPrivateNetworkConnectorService.exe mstsc.exe 192.168.100.39 3389/TCP 443/TCP 150.171.15.10 443/TCP GlobalSecureAccessTunnelingService.exe Microsoft Entra Private Access 192.168.100.39 3389/TCP 192.168.100.47 クライアントPC内 • ルートテーブルなどは通常通りだったところから、ネットワークドライバーに近 いレイヤーで「GlobalSecureAccessTunnelingService.exe」がポリシーにマッチ したパケットをフックし、トンネリング処理を実施していると考えられる。 • プライベートアクセス先は、コネクタ発の443/TCPのトンネルを利用して Microsoft Entra Private Accessサービスから転送されてきたパケットを自身発の パケットとしてターゲットサーバーに転送することで、通信を成立させている。 192.168.100.47のnetstat 12

13.

ロゴ作成中 4つのサービスが導入される。実行ユーザーはローカルシステム 13

14.

ロゴ作成中  グローバルセキュアアクセスのLWFドライバーが導入される グローバルセキュアアクセスクライアントの トラフィックを取得する LWF ドライバー 14

15.

ロゴ作成中 ユーザー権限で、エージェント停止可能 (社内ネットワーク接続時等に、明示的に停止可能) この3つのサービスが停止 「Global Secure Access Client Manager Service」は不停止 15

16.

ロゴ作成中  「監視」→「トラフィックログ」→「プライベートアクセス」で参照可能 16

17.

ロゴ作成中  送信元プロセス、通信プロトコルまで可視化 ユーザー名等取得 送信元プロセス UDP可 17

18.

ロゴ作成中 プライベートネットワークコネクタのインストール コネクタグループの作成 エンタープライズ アプリケーションの作成 条件付きアクセスの設定 18

19.

ロゴ作成中  オンプレミスに設置する、Microsoft Entra Private Access及びアプリケーション プロキシサービスへの軽量なエージェント  プライベートネットワーク上のリソースへのアクセスは、このコネクタを介して 実施される  そのため、高可用性を実現するために2台のコネクタを導入することも可能 (本番環境では冗長化を推奨)  ネットワーク要件としては、インターネット(AzureやGSAのサービス)に対し て80/TCP、443/TCPを開けるだけで問題なし。インバウンド(インターネットへ の公開)ルールは不要  同一プライベートネットワーク内に複数のコネクタ(およびグループ)を展開す ることも可能。アプリケーション単位で展開することも可能 19

20.

ロゴ作成中  Windows Server 2012R2以降であればインストール可能  その他のソフトウェア要件は以下の通り ◦ ◦ ◦ 最小 .NET バージョンは v4.7.1 以上 Windows Server 2019以降にインストールする場合はHTTP 2.0を無効化 TLS1.2を有効化  ドメイン参加は任意。ただしアプリケーションで統合Windows認証を使用 する場合には、要ドメイン参加  インターネット接続の際にプロキシが必須であるネットワークでもコネク タは使用可能。ただし、以下の点に注意する必要あり ◦ ◦ 認証機能付きプロキシーは非サポート プロキシーのTLSインスペクション機能は使用不可 20

21.

ロゴ作成中 【HTTP 2.0 の無効化】 Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\’ ` -Name EnableDefaultHTTP2 -Value 0 【TLS 1.2 の有効化】 New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2' New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ ` -Name DisabledByDefault -Value 0 Set-ItemProperty ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ ` -Name Enabled -Value 1 Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ ` -Name DisabledByDefault -Value 0 Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ ` -Name Enabled -Value 1 ※ レジストリキー追加後は、要再起動 21

22.

ロゴ作成中  エンタープライズアプリケーションに接続するための単体もしくは複数の コネクタをまとめるグループを作成  同一コネクタグループに複数のコネクタが存在する場合、すべてのコネク タが使用されるために可用性が向上する  作成時に地域を指定することで トラフィックフローを最適化 可能。無指定の場合はテナントの 場所に従って設定  アプリケーション単位、地域単位 等でグループを作成し、適用 22

23.

ロゴ作成中  アプリケーション名、接続するためのコネクタグループを指定し、アプリ ケーションの接続先とプロトコルを指定して作成  ささっとテストしてみたい場合は、「クイックアクセス」にアプリケー ションをセグメントを作成することで使用可能 エンタープライズアプリケーションの作成 クイックアクセス設定 23

24.

ロゴ作成中  条件付きアクセスは、エンタープライズアプリケーション作成後に改めて 作成 24

25.

ロゴ作成中  HTTPSのアウトバウンド通信のみで実装可能で、Entraの条件付きアクセスでコント ロールできるため、VPNの代替として非常に有用です  UDPも使用可能なので安心(Previewの時はTCPオンリーでした)  Entra P1とEntra SuiteないしはEPAのスタンドアロンライセンスが必要なので、若干ラ イセンス的なハードルが高いかも……。すでにM365 E3やBPなどを使用中であれば、 Entra SuiteないしはEPAのスタンドアロンライセンスでOKなのでおすすめ 25

26.

ロゴ作成中  Global Secure Access に関するドキュメント https://learn.microsoft.com/ja-jp/entra/global-secure-access/  Microsoft Entra Private Access について学習する https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-private-access  グローバル セキュリティで保護されたアクセスに関する既知の制限事項 https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-current-known-limitations 26

27.

ロゴ作成中 27