.NETlab_MEPA

.NETラボ 2024 01月勉強会 小鮒 通成

自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ     ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Enterprise Mobility→Securityを受賞していま す(MVP受賞回数21回+α)。 秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。

Microsoft Entraブランド  Azure ADからMicrosoft Entra IDへの名称変更  オンプレADとの違いの明確化  クラウド認証基盤の別ブランド化  Microsoft Entraファミリーの再編(一部)  Microsoft Entra ID Governance  Microsoft Entra External ID  Microsoft Entra Verified ID  Microsoft Entra Permissions Management  Microsoft Entra Internet Access  Microsoft Entra Private Access

Microsoftが考えるゼロトラスト  Azureにおける6つの基本要素  ID(アイデンティティ)  エンドポイント  データ  アプリケーション  インフラストラクチャ  ネットワーク  可視性を高め、自動化やオーケストレーションを推進  ゼロ トラストとは | Microsoft Learn

• https://learn.microsoft.com/ja-jp/security/zero-trust/zero-trust-overview

VPNとゼロトラスト  VPNのセキュリティリスク  社内ネットワークに入られたら内部リソース見放題  アカウントの権限が小さくても商用情報は剽窃可能  小さな権限から大きな権限を取得するクラック手法の一般化  VPNのネットワークオーバーヘッド  インターネットアクセスをVPN経由にすることでのパフォーマンス 低下  外部経由のインターネットアクセスのフィルタリング・ロギングは本 当に有用なのか  VPNを「やめる」ことがゼロトラストの推進につながる  AVD for Azure Stack HCIを採用  Microsoft Entra Application Proxyの採用  Microsoft Entra Internet Access / Private Accessの採用

MEIAとMEPA  Global Secure Accessとは  オンプレミスに存在したVPN機器のSaaS化のイメージ  AzureのWAN(バックボーンネットワーク)を使用して「プレ ゼンスポイント」から提供される。  Microsoft Entra Internet Access  クライアントがGSA経由して、Microsoft 365や、サードパー ティのクラウドや任意のインターネットアクセスを可能にする。  Microsoft Entra Private Access  GSA内部にプライベートエンドポイントを設定し、SaaSやオ ンプレミスのサーバー・アプリにアクセスを可能にする。

Microsoft Entra Private Accessとは  GSA(Global Secure Access)経由で、任意のTCPアプリを Microsoft Entra IDの認証認可でアクセス(外部には公 開しない)  Microsoft Entra IDに専用アプリとして自動登録(クイック アクセス)EAアプリとして登録(GSAアプリ)  Microsoft Entra (Hybrid) Joined環境があれば外部から VPNで繋ぎ込む必要なし  「条件付きアクセス」での多要素ベースの認可条件付け が可能

GSAとは  いわゆるSecurity Service Edge機能。クライアントはP2Sまたは S2Sで、ポイント オブ プレゼンスで指定された、近い場所に接 続される。  P2Sの場合、クライアントはGSA Clientのインストールが必要。 Windows/Android/iOS/MacOSに対応。S2Sの場合、 IPsec/IKEによるVPN接続を構成するためClientは不要。  GSAが接続すると、以下の機能で通信データを保護する。  トラフィック転送プロファイル(ルーティングポリシー)  ユニバーサルテナント制限(外部テナント認証によるアプリ利用 の禁止)  ユニバーサル条件付きアクセス(トラフィック転送プロファイルへ の条件付きアクセス)  Defender for Cloud Appと連携し、CASBとして機能する。

クイックアクセスアプリ/GSAアプリとは  MEPAでプライベートエンドポイントとして機能する、Web アプリ。透過的に動作するため、ブラウザでアクセスする ことはない。  単純な構成(単一ネットワークや条件付きアクセスが同一 のサービス群)の場合はクイックアクセスアプリを利用する。  複雑な構成(複数ネットワークやアプリごとに条件付きアク セスが異なる)の場合はGSAアプリを複数利用する。  クイックアクセスアプリ/GSAアプリの内部に、利用したい サーバー名やプロトコル、ネットワーク帯を登録する。  条件付きアクセスポリシーは、このアプリに対して実施。

アプリプロキシコネクタとは  オンプレミス側でアプリプロキシコネクタと呼ばれるエー ジェントでMicrosoft Entra IDに内側からコネクションを張 る(従来のApplication Proxy Connectorと同じ)  Microsoft Entra ID認証が通ったあと、そのコネクション を使ってConnectorの仲立ちによるアプリとのプロキシ通 信を行う  「Kerberosの制限付き委任」設定については、特に指定 はない  基本的には、サービスをホストするサーバーに直接インス トールする(同ネットワーク内なら違ってもOK)

前提条件  Microsoft Entra ID Premium 1 or 2の契約が必要  以下アプリプロキシコネクタ  .NET Framework 4.7.1以降が必要  TLS 1.2以降が必要  80/tcpおよび443/tcpのアウトバウンド接続が必要  指定URLのフィルタリングがないこと  Tutorial - Add an on-premises app - Application Proxy in Microsoft Entra ID - Microsoft Entra | Microsoft Learn

• https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-add-on-premises-application

検証環境  Windows Server vNext ドメインコントローラー  Windows Server vNext ファイルサーバー (SMB)  Windows 11クライアント  Azureポータルでカスタムドメイン名を構成  Microsoft Entra ID Premium 2を有効

Azureでのカスタムドメインの構成  Azureポータルでカスタムドメイン名を構成。オンプレミス ADのDNS名と同一のモノをAzure DNSに設定。

オンプレミス環境の構成  ドメインコントローラーの構成。Microsoft Entra Connect を追加インストール。  ファイルサーバーの構成。共有/NTFSアクセス許可。  クライアントの構成。

アプリプロキシコネクタのインストール  ドメインコントローラー上で、ダウンロードしたコネクタイン ストール。Azure管理者アカウントを指定するだけ。

GSAの有効化  「Microsoft Entra管理センター」からGSAを有効化する  GSA管理者以上のロールでサインインしていること  Entra ID P1 or P2ライセンスを持っていること

• https://entra.microsoft.com/

クイックアクセスアプリの構成  [セキュリティで保護されたグローバルアクセス(プレ ビュー)]- [アプリケーション]-[クイックアクセス]から設定  IPアドレス/IPサブネット/FQDNで設定が可能。複数のプ ロトコル(アプリケーションセグメント)を構成できる。

ユーザー割り当ての構成  クイックアクセスアプリにユーザ割り当てを行う。  クイックアクセスの画面内にある[アプリケーション設定を 編集する]から操作。  対象ユーザーにEntra ID Premiumのライセンスを事前 に割り当てておくこと。

条件付きアクセスの構成  クイックアクセスアプリに条件付きアクセスを設定する。  [アプリケーション設定を編集する] –[条件付きアクセス][新しいポリシー]から操作。  user00だけを対象とする(ライセンスを保持している)  社内外、問わず全部の場所を対象とする  多要素認証を強要する(ない場合はセットアップ)  Microsoft Entra Hybrid参加デバイスのみでのアクセスと する  セキュリティの既定値群は「無効」にすること！

条件付きアクセスの構成

Private Accessプロファイルの有効化  [セキュリティで保護されたグローバルアクセス(プレ ビュー)]- [接続]-[トラフィック転送]から、設定

GSAクライアントの導入  [セキュリティで保護されたグローバルアクセス(プレビュー)][接続]-[クライアントのダウンロード]から、ダウンロード。  Windows 10/11・Android 8.0以降・iOS・MacOSに対応。iOS とMacOSはアーリーアクセス。Windowsの登録済みデバイス では機能しない。

GSAクライアントの導入  ダウンロードした“GlobalSecureAccessClient.exe”をインストー ル。前提条件にはローカル管理者権限が必要(とある)。  インストール後Entra ID認証が必要。

アクセス結果  オンプレミス  初めてのアクセス時のみ、多要素認証セットアップが強制 される。2回目以降は、シームレスに認証された。

アクセス結果  インターネット  再起動含め、何度実行してもシームレスに認証された。

内部通信はどうなっている？  ping <fqdn>で確認したところ、オンプレミスは認証後は 内部IPアドレスにリダイレクトし、直接通信している。  インターネットはpingは通らなかったため、アプリプロキシ コネクタ経由で通信する理解。

まとめ  ゼロトラストを高度に実現するためには、MEPAは大変有 用なソリューションである。多少の追加コストはかかるが、 オンプレミスのネットワーク機器がなくても、内部リソースを 外部からアクセスできる。  大変設定しやすい構成のうえ、認証はシームレス、セキュ リティ的に強固な内容(CASBも含む)をソフトウェアで実現 できる。画期的といえる。  条件付きアクセスやMDM管理で、非Windowsデバイス のアクセスも可能なため、オンプレVPN卒業の決定版と いえる。Entra ID Premium1が大量に必要なケースだけ が問題といえそう。

参考情報  Microsoft Entra のドキュメント | Microsoft Learn  Global Secure Access の概要 (プレビュー) - Global Secure Access | Microsoft Learn  Global Secure Access のポイント オブ プレゼンス Global Secure Access | Microsoft Learn  Microsoft Entra Private Access 用にコネクタを構成する 方法 - Global Secure Access | Microsoft Learn  Global Secure Access のクイック アクセスを構成する方 法 - Global Secure Access | Microsoft Learn

• https://learn.microsoft.com/ja-jp/entra/
• https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-get-started-with-global-secure-access
• https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-points-of-presence
• https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-connectors
• https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-quick-access