Access とは ◼ Microsoft の Secure Service Edge (SSE) サービス ⁻ 以下の 3 種類のサービスで構成 Microsoft Entra Internet Access (いわゆる SWG) Microsoft Entra Internet Access – Microsoft traffic profile Microsoft Entra Private Access (いわゆる ZTNA) ⁻ 2024/07 に GA が発表 Microsoft Security Service Edge now generally available - Microsoft Community Hub ⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった Microsoft Entra Suite now generally available - Microsoft Community Hub ◼ 世界中に PoP があるため、全世界で最適な環境が利用可能 ⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn
◼ ダッシュボード ⁻ Learn about the Global Secure Access dashboard - Global Secure Access | Microsoft Learn ◼ ログ ⁻ Global Secure Access logs and monitoring - Global Secure Access | Microsoft Learn
◼ ソース IP アドレスの復元 ⁻ 一般的な SSE では、SSE からの出口の IP アドレスが他のユーザーと共有になってしまう 占有 IP アドレスオプションがあっても、非常に高価なケースがある ⁻ Microsoft サービスのみが対象だが、真の送信元 IP アドレスを使った条件付きアクセスが可能 ⁻ Enable source IP restoration with the Global Secure Access - Global Secure Access | Microsoft Learn ◼ ユニバーサル テナント制限 ⁻ テナント制限 v2 と併用する テナント制限 v2 を使用すると、企業は、Microsoft Graph、SharePoint Online、Exchange Online などの Microsoft Entra 統合アプリケーションの外部テナント ID を使用するユーザーによるデータ流出を防ぐことができます。 ⁻ Global Secure Access and universal tenant restrictions - Global Secure Access | Microsoft Learn ⁻ 継続的アクセス評価 との組合せ Continuous access evaluation in Microsoft Entra - Microsoft Entra ID | Microsoft Learn
◼ Microsoft Entra Suite ⁻ $12/month/user ⁻ Microsoft Entra Internet Access と Microsoft Entra Private Access はそれぞれ $5/month/user ⁻ Microsoft Entra Plans and Pricing | Microsoft Security ⁻ Remote network での接続形態の場合の課金体系は未定 ◼ Microsoft traffic profile ⁻ Microsoft traffic profile については Microsoft 365 E3 のままでそのうちカバーされる予定 ⁻ Microsoft トラフィック プロファイルの使用は、Microsoft 365 E3 ライセンスにまもなく含まれる Secure Access Essentials ライセンスに含まれています。 ⁻ What is Global Secure Access? - Global Secure Access | Microsoft Learn
Internet Access (MEIA) 23 ◼ Secure Web Gateway ⁻ Web のカテゴリによるフィルタリング、FQDN によるフィルタリング ◼ 条件付きアクセスに統合する形で実装 ⁻ セキュリティ プロファイル の中で Web category や FQDN により許可・拒否を定義 ⁻ セキュリティ プロファイルを条件付きアクセスの形でユーザーに紐づけて設定 ◼ Global Secure Access Client をクライアントにインストール ⁻ Microsoft Entra ID のアカウントでログインして利用 ⁻ 現時点では Microsoft Entra joined が必要
◼ Private DNS ⁻ 現時点でも 53/tcp、53/udp のトラフィックを MEPA に向けることはできるが、専用の機能として開発中 Private DNS option missing in Entra Private access · Issue #978 · MicrosoftDocs/entra-docs (github.com) ⁻ GA すると Kerberos 認証を使ったアプリケーションへの対応も Use Kerberos for single sign-on (SSO) with Microsoft Entra Private Access. - Global Secure Access | Microsoft Learn
◼ Microsoft と Cisco でのセキュリティ サービス エッジ (SSE) の共存について説明します。 - Global Secure Access ⁻ Learn about Security Service Edge (SSE) coexistence with Microsoft and Cisco. - Global Secure Access | Microsoft Learn ⁻ このドキュメントでは、これらのソリューション、具体的には、インターネット アクセスと DNS レイヤ セキュリティのための Microsoft Entra Private Access(プライベート DNS 機能が有効)と Cisco Umbrella を並行して導入する手順につ いて説明します。 ◼ Microsoft と Palo Alto Networks でのセキュリティ サービス エッジ (SSE) の共存について説明します。 - Global Secure Access ⁻ Learn about Security Service Edge (SSE) coexistence with Microsoft and Palo Alto Networks. - Global Secure Access | Microsoft Learn ⁻ Microsoft Entra では、Microsoft 365 トラフィック転送プロファイルを有効にし、Internet Access および Private Access のトラフィック転送プロファイルを無効にします。 Microsoft 365 トラフィックのみがキャプチャされます。 Palo Alto Networks では、インターネット アクセス トラフィックをキャプチャし、Microsoft 365 トラフィックを除外します。