こんにちは。SB C&Sの石井です。

第2回ではMicrosoft トラフィックプロファイルの構成および通信の確認をしました。

本記事では、インターネットアクセスへの通信を制御するInternet Accessプロファイルを構築し、実際に通信がどのように制御されるか確認していきます。

その他の内容に関しては別記事をご参照ください。

• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第1回 概要編
• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第2回 Microsoft Traffic構築編
• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第3回 Internet Access構築編
• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第4回 Private Access構築編

今回やること

今回は、ゲームカテゴリに関係するサイトおよびSB C&Sのサイトにアクセスできないように構成をしていきます。
具体的には以下の手順で実施していきます。

1. Internet Accessプロファイルの構成
   インターネットへの通信を識別し、通信経路の定義をします。
2. Webコンテンツフィルターの作成
   特定のカテゴリやFQDNを設定し、Webフィルターの設定を行います。
3. セキュリティ プロファイルの作成
   条件付きアクセスに使用するセキュリティ プロファイルの作成をします。
4. 条件付きアクセスポリシーの作成
   セキュリティプロファイルに一致した通信をアクセス制御する条件付きアクセスポリシーを作成します。
5. 通信確認
   対象のカテゴリやFQDNにはアクセス制御され、アクセスできないことを確認します。

Internet Accessプロファイルの構成

インターネットへのトラフィックを制御するプロファイルを構成していきます。

Microsoft Entra管理センターにアクセスし、[グローバル セキュア アクセス]-[接続]-[トラフィック転送]の順に移動します。インターネット アクセス プロファイルのトグルボタンをオンにします。

　

グローバル セキュア アクセス クライアントがプロファイルのトラフィックを取得するかどうかの確認メッセージ表示されるため、[OK]をクリックします。

　

ユーザーおよびグループの割り当ての[表示]をクリックします。今回は対象のユーザーのみ割り当てを実施するため[ユーザーを選択]の下にある青字をクリックします。

　

[Add user/group]をクリックします。

　

[ユーザーとグループ]下の青字をクリックし、対象のユーザーやグループを追加します。[割り当て]をクリックします。
※画面ではすでにユーザーに対して割り当てを実施しています。

　

割り当てしたユーザーが追加されていることを確認し、[トラフィック転送]に戻ります。

　

以上でインターネット アクセス プロファイルの構成は完了です。

Web コンテンツ フィルター ポリシーの作成

続いて、フィルタリングの設定を行うポリシーを作成していきます。

[グローバル セキュア アクセス]-[安全]-[Web コンテンツ フィルター ポリシー]の順に移動します。[ポリシーの作成]をクリックします。

　

このポリシーに付ける任意の名前を入力し、[次へ >]をクリックします。

　

フィルタリングの構成をします。[規則の追加]をクリックします。規則には以下の設定をします。

• 名前：任意の名前を入力
• 宛先の種類：webCategory
  • カテゴリ：Games

[追加]をクリックします。

　

再度、[規則の追加]をクリックします。

　

規則に以下の設定をします。

• 名前：任意の名前を入力
• 宛先の種類：fqdn
• 宛先：cas.softbank.jp

[追加]をクリックします。

　

設定した規則が表示されていることを確認し、[次へ >]をクリックします。

　

設定した内容を確認し、[ポリシーの作成]をクリックします。

　

ポリシーが作成したことが確認できます。以上で、Web コンテンツ フィルター ポリシーの作成は完了です。

セキュリティ プロファイルの作成

続いて条件付きアクセスポリシーに定義する、セキュリティ プロファイルを作成します。

[グローバル セキュア アクセス]-[安全]-[セキュリティ プロファイル]の順に移動します。[セキュリティ プロファイル]タブが選択されていることを確認し、[プロファイルの作成]をクリックします。

　

このプロファイルに付ける任意の名前を入力し、[次へ >]をクリックします。

　

[ポリシーのリンク]-[既存のWebコンテンツの制限ポリシー]の順にクリックします。

　

ポリシー名にて先ほど作成したWeb コンテンツ フィルター ポリシーを選択し、[追加]をクリックします。

　

設定したポリシーが表示されていることを確認し、[次へ >]をクリックします。

　

設定した内容を確認し、[プロファイルの作成]をクリックします。

　

プロファイルが作成されたことを確認します。以上でセキュリティ プロファイルの作成は完了です。

条件付きアクセスポリシーの作成

続いてインターネットアクセス用の条件付きアクセスポリシーを作成します。

[Entra ID]-[条件付きアクセス]の順に移動します。[新しいポリシーの作成]をクリックします。

　

このポリシーに設定する[名前]を入力します。[ユーザーまたはエージェント（プレビュー）]下の青字をクリックし、対象のユーザーやグループを追加します。

　

[ターゲット リソース]下の青字をクリックします。[グローバル セキュア アクセスを使ったすべてのインターネット リソース]を選択します。

　

[ネットワーク]下の青字をクリックします。構成にて[はい]をクリックし、[任意のネットワークまたは場所]を選択します。

　

[セッション]下の青字をクリックします。[グローバル セキュア アクセスのセキュリティ プロファイルを使用する]にチェックを入れ、先ほど作成したセキュリティ プロファイルを選択します。[選択]をクリックします。

　

ポリシーの有効化を[オン]にし、[作成]をクリックします。

接続確認

設定した内容を元にアクセス確認をします。Global Secure Access Clientをインストールしたデバイスにアクセスします。
※Global Secure Access Clientをインストールしていない場合は、第2回を参照して事前にインストールしてください。

まずは、SB C&Sのホームページにアクセスを試みます。フィルタリングルールでブロックしているためアクセスできないことがわかります。

　

続いてゲーム関連のサイトにアクセスを試みます。こちらもフィルタリングルールでブロックしているためアクセスできないことがわかります。

　

Microsoft Entra 管理センターからもログを確認します。[グローバル セキュア アクセス]-[監視]-[トラフィック ログ]の順に移動します。SB C&Sへの通信やゲームカテゴリへの通信がブロックされていることを確認できます。

まとめ

今回はインターネット アクセス プロファイルを使った通信制御についてご紹介しました。

このプロファイルを使うことによりインターネットへの通信を制御できます。フィルタリングの設定をすることでカテゴリベースやFQDNベースで細かく通信制御することが可能です。

次回は、社内ネットワークなどのプライベート環境の通信を制御するPrivate Access編としてPrivate Access プロファイルの構成手順を紹介しますので是非ご参照ください。

• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第1回 概要編
• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第2回 Microsoft Traffic 構築編
• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第3回 Internet Access 構築編
• ゼロトラスト時代のアクセス設計：Microsoft Global Secure Access 第4回 Private Access 構築編