プライベート アクセス トラフィック転送プロファイルを管理する方法

  • [アーティクル]

プライベート アクセス トラフィック転送プロファイルは、Global Secure Access クライアント経由でプライベート ネットワークにトラフィックをルーティングします。 このトラフィック転送プロファイルを有効にすると、リモートの作業者が VPN なしで内部リソースに接続できます。 Microsoft Entra Private Access の機能を使用すると、どのプライベート リソースがサービスをトンネリングするかを制御し、条件付きアクセス ポリシーを適用して、それらのサービスへのアクセスをセキュリティで保護できます。 構成が整ったら、これらの構成すべてを 1 か所から表示および管理できます。

前提条件

テナントのプライベート アクセス転送プロファイルを有効にするには、次のものが必要です。

既知の制限事項

  • 現時点では、プライベート アクセス トラフィックは、Global Secure Access クライアントでのみ取得できます。 プライベート アクセス トラフィックをリモート ネットワークから取得することはできません。
  • IP アドレスによるプライベート アクセス宛先へのトラフィックのトンネリングは、エンド ユーザー デバイスのローカル サブネット外の IP 範囲に対してのみサポートされます。
  • トラフィック転送プロファイルの完全修飾ドメイン名 (FQDN) の規則に基づいてネットワーク トラフィックをトンネリングするには、HTTPS 経由の DNS (セキュリティで保護された DNS) を無効にする必要があります。

Private Access トラフィック転送プロファイルを有効にする

  1. Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
  2. [Global Secure Access (プレビュー)]>[接続]>[Traffic forwarding] (トラフィック転送) を参照します。
  3. [プライベート アクセス プロファイル] のチェック ボックスをオンにします。

プライベート アクセス プロファイルが有効にになっているトラフィック転送ページのスクリーンショット。

プライベート アクセス ポリシー

プライベート アクセス トラフィック転送プロファイルを有効にするには、まずクイック アクセスを構成することをお勧めします。 クイック アクセスには、ポリシーに含めるプライベート リソースの IP アドレス、IP 範囲、完全修飾ドメイン名 (FQDN) が含まれます。 詳細については、クイック アクセスの構成に関する記事を参照してください。

プライベート アクセス アプリを作成して、アプリごとのプライベート リソースへのアクセスを構成することもできます。 クイック アクセスと同様に、新しいエンタープライズ アプリを作成します。それをプライベート アクセス トラフィック転送プロファイルに割り当てることができます。 クイック アクセスには、常にサービス経由でルーティングするプライベート リソースのメイン グループが含まれます。 プライベート アクセス アプリは、クイック アクセスに含まれる FQDN と IP アドレスに影響を与えることなく、必要に応じて有効または無効にできます。

プライベート アクセス トラフィック転送ポリシーに含まれる詳細を管理するには、[プライベート アクセス ポリシー][表示] リンクを選択します。

アプリケーション リンクの表示が強調表示されたプライベート アクセス プロファイルのスクリーンショット。

プライベート アクセスのクイック アクセスとエンタープライズ アプリの詳細が表示されます。 アプリケーションのリンクを選択して、Microsoft Entra ID の [エンタープライズ アプリケーション] 領域から詳細を表示します。

プライベート アクセス アプリケーションの詳細のスクリーンショット。

リンクされた条件付きアクセス ポリシー

プライベート アクセスの条件付きアクセス ポリシーは、アプリごとにアプリケーション レベルで構成されます。 条件付きアクセス ポリシーは、アプリケーションに対して次の 2 つの場所から作成して適用できます。

  • [Global Secure Access (プレビュー)]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。 アプリケーションを選択し、サイド メニューから [条件付きアクセス] を選択します。
  • [保護]>[条件付きアクセス]>[ポリシー] に移動します。 [新しいポリシーの作成] を選択します。

詳細については、「条件付きアクセス ポリシーをプライベート アクセス アプリに適用する」を参照してください。

ユーザーおよびグループの割り当て

プライベート アクセス プロファイルのスコープは、特定のユーザーとグループに設定できます。 ユーザーとグループは、プライベート アクセス アプリとトラフィック転送プロファイルの両方に割り当てる必要があります。

ユーザーとグループの割り当ての詳細については、「トラフィック転送プロファイルを使用してユーザーおよびグループを割り当てて管理する方法」を参照してください。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

Microsoft Entra Internet Access の使用を開始するための次の手順は、エンド ユーザー デバイスに Global Secure Access クライアントをインストールして構成することです

プライベート アクセスの詳細については、次の記事を参照してください。