Microsoft トラフィック転送プロファイルを有効にして管理する方法

  • [アーティクル]

Microsoft プロファイルを有効にすると、Microsoft Entra Internet Access は、Microsoft サービスに送信されるトラフィックを取得します。 Microsoft プロファイルは、次のポリシー グループを管理します。

  • Exchange Online
  • Sharepoint Online と OneDrive for Business
  • Microsoft 365 Common と Office Online (Microsoft Entra ID と Microsoft Graph のみ)

前提条件

テナントの Microsoft トラフィック転送プロファイルを有効にするには、次のものが必要です。

既知の制限事項

  • 個々のサービスは、継続的に Microsoft トラフィック プロファイルに追加されます。 現在、Microsoft Entra ID、Microsoft Graph、Exchange Online、および SharePoint Online が、Microsoft トラフィック プロファイルの一部としてサポートされています
  • Microsoft トラフィック プロファイルの追加の制限事項については、Windows クライアントの既知の制限に関する記事を参照してください

Microsoft トラフィック プロファイルを有効にする

  1. Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。

  2. [Global Secure Access (プレビュー)]>[接続]>[Traffic forwarding] (トラフィック転送) を参照します。

  3. Microsoft トラフィック プロファイルを有効にします。

    Microsoft アクセス プロファイルが有効になっているトラフィック転送ページのスクリーンショット。

Microsoft トラフィック ポリシー

Microsoft トラフィック転送ポリシーに含まれる詳細を管理するには、[Microsoft traffic policies]\(Microsoft トラフィック ポリシー\)[表示] リンクを選択します。

アプリケーション リンクの表示が強調表示された Microsoft アクセス プロファイルのスクリーンショット。

ポリシー グループが有効になっているかどうかを示すチェック ボックスとともに、ポリシー グループが一覧表示されます。 ポリシー グループを展開して、グループに含まれるすべての IP と FQDN を表示します。

Microsoft プロファイルの詳細のスクリーンショット。

ポリシー グループには、次の詳細が含まれます。

  • 宛先の種類: FQDN または IP サブネット
  • 宛先: FQDN または IP サブネットの詳細
  • ポート: ネットワーク エンドポイントを形成するために IP アドレスと組み合わされる TCP または UDP ポート
  • プロトコル: TCP (伝送制御プロトコル) または UDP (ユーザー データグラム プロトコル)
  • アクション: 転送またはバイパス

トラフィックの取得をバイパスするようにトラフィック取得ルールを構成できます。 その場合、ユーザーは引き続きリソースにアクセスできますが、Global Secure Access サービスではトラフィックは処理されません。 特定の FQDN または IP アドレス、プロファイル内のポリシー グループ全体、または Microsoft プロファイルそのもの全体へのトラフィックをバイパスできます。 ポリシー グループ内の Microsoft リソースの一部のみを転送する必要がある場合は、グループを有効にしてから、詳細の [アクション] を適宜変更します。

次の例は、トラフィックがサービスに転送されないように *.sharepoint.com FQDN を [バイパス] に設定するようすを示しています。

[アクション] ドロップダウン メニューのスクリーンショット。

Global Secure Access クライアントがサービスに接続できない場合 (承認や条件付きアクセスの失敗などで)、サービスはトラフィックを "バイパス" します。 トラフィックは、ブロックされるのではなく、直接、ローカルに送信されます。 このシナリオでは、準拠しているネットワーク チェックのために条件付きアクセス ポリシーを作成して、クライアントがサービスに接続できない場合にトラフィックをブロックできます。

リンクされた条件付きアクセス ポリシー

条件付きアクセス ポリシーが作成され、Microsoft Entra ID の条件付きアクセス領域のトラフィック転送プロファイルに適用されます。 たとえば、ユーザーが Microsoft トラフィック プロファイルのサービスのネットワーク接続を確立するときに、準拠デバイスを必要とするポリシーを作成できます。

[リンクされた条件付きアクセス ポリシー] セクションに [なし] と表示される場合、トラフィック転送プロファイルにリンクされた条件付きアクセス ポリシーはありません。 条件付きアクセス ポリシーを作成するには、Global Secure Access 経由のユニバーサル条件付きアクセスに関する記事を参照してください。

既存の条件付きアクセス ポリシーを編集する

トラフィック転送プロファイルに条件付きアクセス ポリシーがリンクされている場合は、そのポリシーを表示および編集できます。

  1. [リンクされた条件付きアクセス ポリシー][表示] リンクを選択します。

    条件付きアクセス リンクが強調表示されたトラフィック転送プロファイルのスクリーンショット。

  2. 一覧からポリシーを選択します。 [条件付きアクセス] にポリシーの詳細が開きます。

    適用された条件付きアクセス ポリシーのスクリーンショット。

Microsoft トラフィック プロファイルのリモート ネットワーク割り当て

トラフィック プロファイルをリモート ネットワークに割り当てることで、エンド ユーザー デバイスにクライアントをインストールしなくても、ネットワーク トラフィックが Global Secure Access に転送されるようにできます。 デバイスが顧客構内設備 (CPE) の背後にある限り、クライアントは必要ありません。 リモート ネットワークをプロファイルに追加するには、リモート ネットワークを作成する必要があります。 詳細については、「リモート ネットワークの作成方法」を参照してください。

Microsoft プロファイルにリモート ネットワークを割り当てるには:

  1. Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
  2. [Global Secure Access (プレビュー)]>[接続]>[Traffic forwarding] (トラフィック転送) を参照します。
  3. [ネットワーク割り当ての削除] セクションで、プロファイルの [表示] リンクを選択します。
  4. 一覧からリモート ネットワークを選択し、[追加] を選択します。

ユーザーおよびグループの割り当て

すべてのユーザーにトラフィック プロファイルを適用する代わりに、Microsoft プロファイルのスコープを特定のユーザーとグループに設定できます。 ユーザーとグループの割り当ての詳細については、「トラフィック転送プロファイルを使用してユーザーおよびグループを割り当てて管理する方法」を参照してください。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

Microsoft Entra Internet Access の使用を開始するための次の手順は、エンド ユーザー デバイスに Global Secure Access クライアントをインストールして構成することです

トラフィック転送の詳細については、次の記事を参照してください。