① 転送プロファイルの有効化
② プライベートネットワークコネクタのインストール
③ プライベートアプリの登録
④ Global Secure Accessクライアントのインストール
② プライベートネットワークコネクタのインストール
③ プライベートアプリの登録
④ Global Secure Accessクライアントのインストール
導入事例を検索
閉じる
閉じる
閉じる
閉じる
ゼロトラストブログ vol. 27
Microsoft Entra Private Accessを検証してみた
2025 11/26
2024年に正式リリースされたMicrosoft Entra Global Secure Accessは、その後、段階的に機能拡張されており、現在はmacOSおよびiOSのサポートも追加されました。本記事では、Microsoft Entra IDと連携したZTNA (ゼロトラストネットワークアクセス) 型のプライベートアクセスであるMicrosoft Entra Private Accessについて解説します。加えて、動作検証のクライアントOSに、macOSを利用することで、情報システム担当者の皆さまにとって最新の情報をいち早くお届けします。
Microsoft Entra Internet Accessに関しては、こちらの記事を参照ください。
ZTNAとは
ZTNA (Zero Trust Network Access) とは、ゼロトラストの考えに基づき、デバイスの状態やユーザーの状況などのコンテキスト情報をもとに継続的に検証し、アクセスするリソースごとに認証・認可を行う仕組みです。
ZTNAを実現するにあたり、各メーカーが実装する機能は多岐にわたります。その中でも重要なのが、アタックサーフェス (攻撃対象領域) をなくし、インターネット上にグローバルIPを付与した通信設備を公開せずに、内部ネットワークへのアクセスを可能にする機能です。
例えば、次の図はVPN (Virtual Private Network) 型のリモートアクセスを簡単に表したものです。
エンドポイントとなるデバイスにインストールされたクライアントアプリを使用し、VPN装置を経由することで内部ネットワークに接続できる仕組みです。
しかし、VPN装置はインターネット上からのインバウンド通信を一部許可する必要があり、その際にグローバルIPを持つことになります。このグローバルIPがインターネット上に露出することで、悪意のある攻撃者からVPN装置への攻撃を受けるおそれがあります。適切なアクセス制御やパッチ管理を行えばセキュリティリスクを低減できますが、運用における負担は避けられません。
一方、ZTNA型では多くの場合、内部ネットワーク上にコネクタを設置し、このコネクタとZTNAを提供するクラウドとの間でセッションを確立することで、エンドポイントから内部ネットワークへアクセスできる機能を提供します。
この方式では、インターネット上にインバウンド通信用のグローバルIPを公開する必要がなく、攻撃対象領域をなくすことが可能なため、結果的に悪意のある攻撃者に狙われる手がかりを排除できます。
Microsoft Entra Private Accessとは
Microsoft Entra Private Accessは、Microsoftが提供するリモートアクセスサービスです。このサービスを利用することで、Entra ID上のユーザー情報をもとに条件付きアクセスを適用し、ZTNA型のリモートアクセスを実現できます。
具体的には、内部ネットワークにプライベートネットワークコネクタを設置し、これがMicrosoft Global Secure Access POP (Points of Presence) とセッションを確立することで、Global Secure Accessクライアントからプライベートアプリへのアクセスが可能になります。
ZTNA型のリモートアクセスを実現できるSASE (Secure Access Service Edge) やSSE (Security Service Edge) 製品は数多く存在します。その中でMicrosoft Entra Private Accessを採用する理由の一つは、Entra IDと統合されたZTNA型のリモートアクセスである点です。
Entra IDはクラウド型のIDaaS (Identity as a Service) であり、Microsoft 365やAzureのID管理にも利用されているため、多くの企業が導入しています。このEntra IDには、「条件付きアクセス」といった機能があり、これらを活用することで、事前に連携したリソース (例: SaaS) へのアクセス時に動的なアクセス制御を実現できます。
今回紹介するMicrosoft Entra Private Accessは、Entra IDの条件付きアクセスと組み合わせることが可能です。そのため、Entra IDをすでに利用している場合、既存のセキュリティポリシーにMicrosoft Entra Private Accessでアクセスするリソースを追加するだけで、ZTNAとセキュリティ保護の両立が可能になります。
準備
本項から検証に必要な準備事項と動作確認結果をご説明します。
【注意事項】
クラウドサービスという性質上、随時機能の拡張や更新が発生し、実際の機能が記載と異なる可能性もございます。そのため、本記載内容は、明示または黙示を問わず、一切の保証があるものではございません。
今回検証するMicrosoft Entra Private Accessの構成手順は、以下の4つのステップに大別されます。
構成としては、内部ネットワーク上にWindows Serverを2台構築し、Microsoft Entra Private Accessの通信を実現するためのプライベートネットワークコネクタ、内部DNS、WEBサーバー、リモートデスクトップの接続先として利用します。
また、アクセス元のデバイスとして、Intuneに登録済みのmacOSのPCを用意します。
1. 転送プロファイルの有効化
Microsoft Entra管理センターで、今回利用するMicrosoft Entra Private Accessの転送プロファイルを有効化します。
[セキュリティで保護されたグローバルアクセス] > [接続] > [トラフィック転送]に移動し、各 [プロファイル] を有効にしていきます。
その後、画面下部の [表示] を選択し、ユーザーおよびグループを割り当てます。
今回は事前に作成していた検証用のユーザーグループを割り当てた後、
「完了」を選択します。
2. プライベートネットワークコネクタのインストール
プライベートアプリにアクセスできるよう、IP到達性のあるネットワーク上にWindows Serverを設置し、専用のプライベートネットワークコネクタをインストールします。
まず、プライベートネットワークコネクタのインストーラーをダウンロードするために、Microsoft Entra管理センターの [グローバルセキュアアクセス] > [接続] > [コネクタ] を開き、[コネクタサービスのダウンロード] をクリックします。
次に、[規約に同意してダウンロード] をクリックし、インストーラーをダウンロードします。
ダウンロードしたプライベートネットワークコネクタをWindows Server 2022上に配置し、実行します。実行すると、インストールウィザードが表示されるので、チェックを入れて [Install] をクリックします。
実行途中で、Microsoft Entra IDによる認証画面がポップアップします。最低でもアプリケーション管理者の資格情報を入力します。
正常にインストールが完了すると、[Setup Successful] と表示されます。
改めて、Microsoft Entra管理センターで確認すると、先ほどプライベートネットワークコネクタをインストールしたサーバーの情報を確認できます。
これでプライベートネットワークコネクタの作成は完了しました。
実運用では可用性を確保するため、複数のプライベートネットワークコネクタを作成する必要がありますが、今回は検証目的のため、1つのみ作成しています。
3. プライベートアプリの登録
Microsoft Entra管理センターで、アクセス先のプライベートアプリを登録します。
[グローバルセキュアアクセス] > [アプリケーション] >
[クイックアクセス] を選択し、[アプリケーションセグメント] 内の [+クイックアクセスのアプリケーション セグメントを追加] をクリックします。
宛先の種類としては、[IPアドレス]、[完全修飾ドメイン名]、「IPアドレスの範囲 (CIDR)」などがありますが、「IPアドレスの範囲 (CIDR)」を選び、10.10.50.0/24のネットワークを宛先として、ポート80,443,445,3389を許可する設定をいれます。
実際に設定した画面は、右の画像のとおりです。設定すると、「状態」という列が表示され、プライベートネットワークコネクタから対象アプリへの通信が正常に行われる場合は、「成功」と表示されます。
アプリケーションセグメントの設定が完了したら、[ユーザーとグループ]を選択し、設定したプライベートアプリにアクセスできるユーザーを割り当てます。
今回は対象ユーザーを含むグループを作成済みのため、そのグループを割り当てます。
次に、[グローバルセキュアアクセス] > [アプリケーション] > [エンタープライズアプリケーション] からもプライベートアクセス対象のアプリケーションを登録します。
まず、[新しいアプリケーション] をクリックします。
こちらでは、[完全修飾ドメイン名] を宛先に設定するため、宛先の種類にFully qualified domain name、宛先にweb.test.local、ポートに80,443、プロトコルにTCPを登録します。
加えて、[ユーザーとグループ] にも検証用のユーザーグループを割り当てます。
4. Global Secure Accessクライアントのインストール
動作検証に利用するmacOSのPCに、Global Secure Accessクライアントをインストールします。主な前提条件は、以下となっております。
- ※ 外部サイトへ遷移します
前提条件の1つのIntuneに登録する手順は割愛いたしますが、以下URLの手順に沿ってIntune登録をすることができます。
- ※ 外部サイトへ遷移します
macOSをIntuneに登録した後、Global Secure Accessクライアントをインストールします。
Microsoft Entra管理センターで [グローバルセキュアアクセス] > [接続] > [クライアントのダウンロード]を選択します。次に、macOSのセクションにある [クライアントのダウンロード] ボタンをクリックすると、インストーラーをダウンロードすることができます。
インストーラーは、Global Secure Accessクライアントをインストールしたいデバイス上で直接実行し、ウィザードに従いインストールできます。
インストールの途中で、デバイスの管理者権限が必要となりますので入力します。
システム拡張機能の確認が入りますので、「システム設定を開く」から許可を与えます。
正常にインストールされると、同アプリが常駐するようになります。
さらに、macOSの前提条件となるMicrosoft Enterprise SSOプラグインをIntuneから配布するため、構成プロファイルを作成します。
Intune管理センターに移動し、[デバイス] > [macOS] > [構成]に移動し、
[作成] から [新しいポリシー] をクリックします。
プリファイルの種類から[テンプレート]を選択し、[デバイスの機能] を選んで、[作成] をクリックします。
シングルサインオン アプリ拡張機能欄に、SSOアプリ拡張機能の種類を [Microsoft Entra ID] を選択した後、以下設定値に入力します。
| キー | 型 | 設定値 |
|---|---|---|
| AppPrefixAllowList | String | com.microsoft., com.apple. |
| browser_sso_interaction_enabled | 整数 | 1 |
| disable_explicit_app_prompt | 整数 | 1 |
本設定値は以下Microsoft Learnの情報をもとにしております。
- ※ 外部サイトへ遷移します
設定後、対象となるグループに割り当て、ポリシーが配信されたら準備完了です。
動作確認
今回は、名前解決によるWEBサーバーへのアクセスとリモートデスクトップ接続によるWindows Serverへのアクセスの動作確認を行います。
1. 名前解決によるWEBサーバーへのアクセス
WEBサーバーにアクセスするためのURLを入力することで、HTTPSを利用したテストページにアクセスできます。
なお、プライベートDNSとアクセス元のmacOSのPCは直接通信できませんが、プライベートネットワークコネクタが名前解決を行うことで、DNSを利用したWEBサーバーへのアクセスが可能になっています。
2. リモートデスクトップによるアクセス
次に、Windows Appを利用して、Windows Serverにリモートデスクトップ接続を行います。事前に登録しておいたIPアドレスを利用してアクセスいたします。
アクセス先のWindows Serverによる認証が発生しますので、アクセス先の認証情報を入力します。
これで接続することができました。
3. アプリケーションの検出
今回クイックアクセスの対象はネットワークセグメントにしており、ポートも複数設定しておりました。そのため、過剰にプライベートアクセスの許可を与えてしまっている可能性があります。そのような問題の軽減のため、アプリケーション検出という機能があります。
これは次の画像のように、プライベートアクセスの通信を可視化し、実際の宛先やポートを特定することに役立てることが可能となるような機能も追加されました。
動作確認結果のまとめ
以上の結果から、ZTNA型のリモートアクセスを利用し、WEBサーバーにアクセスできることを確認し、リモートデスクトップ接続ができることを確認しました。このとき、内部DNSサーバーとアクセス元のデバイス間で直接名前解決ができなくても、プライベートネットワークコネクタを使用すれば、内部DNSサーバーによる名前解決が可能であることも確認できました。これにより、一般的なZTNAのユースケースに対応できると考えられます。
Microsoft Entra IDを利用している場合は、条件付きアクセスが適用されているケースが多く、Intuneも導入済みであることが一般的なため、クライアントアプリの展開を含め、比較的スムーズに導入できるZTNA製品といえます。
最後に
本記事では、Microsoft Entra Private Accessの動作検証を通じて、その有用性を紹介しました。Entra IDとの親和性が高いため、すでにEntra IDを利用している方にとって、効果的なプライベートアクセス手段の一つとなる可能性が高い製品です。Microsoft Entra IDやIntuneの活用に関してお困りの際は、ぜひ弊社までご相談ください。
今後も、今回の機能をはじめ、Microsoftやほかのセキュリティプロバイダーの技術進化に注目し、ブログで発信していきます。
執筆者プロフィール
渡邉 満紀 (わたなべ みつき) [関連する保有資格:CISSP (Certified Information Systems Security Professional)]
入社後、大手製造業に対するネットワークやクラウドサービスの提案・構築を担当。 その後、情報システム部ではKDDIゼロトラスト環境の導入に従事。
現在はMicrosoft 365 Securityを中心としたゼロトラストの提案構築業務を担当。
2024年に「Microsoft Top Partner Engineer Award」のSecurity部門選出。
入社後、大手製造業に対するネットワークやクラウドサービスの提案・構築を担当。 その後、情報システム部ではKDDIゼロトラスト環境の導入に従事。
現在はMicrosoft 365 Securityを中心としたゼロトラストの提案構築業務を担当。
2024年に「Microsoft Top Partner Engineer Award」のSecurity部門選出。
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
閉じる
本サービスへのお問い合わせ
KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。
最新ゼロトラストブログ
ホワイトペーパー
最新のイベント・セミナー情報
ピックアップ
