日本マイクロソフトは7月20日、オンプレミス、クラウド、それらが混在するハイブリッド環境におけるネットワークアクセスとID管理の製品群を統合した「Microsoft Entra」の最新情報に関するメディア向けのオンライン説明会を開始した。

今回の説明会では、米マイクロソフトが2023年7月11日(現地時間)に開催した「Reimagine secure access with Microsoft Entra」で発表された、Azure Active Directory(Azure AD)の名称変更にあたっての情報提供とともに、SSE(Security Service Edge)の新ソリューションである「Microsoft Entra Internet Access」(Entra Internet Access)と「Microsoft Entra Private Access」(Entra Private Access)が紹介された。

Azure ADの各機能は、Entraの機能に置き換わる

Microsoft Entraは、クラウドサービスの権限管理ソリューション「Microsoft Entra Permissions Management」、ブロックチェーンを活用した分散型アイデンティティ基盤「Microsoft Entra Verified ID」と、Azure ADで構成される製品ファミリーとして2022年5月に発表され、一般提供を開始した。その後は順次、機能拡張がなされている。

  • 「Microsoft Entra」を構成する製品群

    「Microsoft Entra」を構成する製品群

7月11日のイベントに伴って、米マイクロソフトはAzure ADの名称を「Microsoft Entra ID」(Entra ID)に変更することを発表した。各ライセンスの名称も変更されるが、機能面やライセンスプランの内容、サインインURL、APIに変更はない。

一方で、Azure ADで従来提供していた機能は、今後、Microsoft Entraの機能に置き換わっていく。すでに、Microsoft Entra、Microsoft Azure、Microsoft 365の管理者ポータルから一部機能の名称が変わり始めており、2023年末までに名称変更が完了するという。

日本マイクロソフト クラウド&AIソリューション事業本部 モダンワーク統括本部 クラウドエンドポイント技術営業本部の山本築氏は、「今回の名称変更は製品名を簡素化し、製品ファミリーを統一するためのものだ。2013年からAzure ADの一般提供を開始し約10年の月日が経つ中で、デジタル資産を保護するために、Entra IDの下でID管理の新たな一歩を歩んでいきたい」と述べた。

  • 日本マイクロソフト クラウド&AIソリューション事業本部 モダンワーク統括本部 クラウドエンドポイント技術営業本部 山本築氏

    日本マイクロソフト クラウド&AIソリューション事業本部 モダンワーク統括本部 クラウドエンドポイント技術営業本部 山本築氏

Entra IDによりWebアクセス制限とZTNAを実現

説明会では、新たなSSEソリューションであるEntra Internet Accessと、Entra Private Accessの特徴が紹介された。

「2つの製品はマイクロソフトのIDを中心としたソリューションで、Entra IDの拡張として提供される。そのため、Entra IDの設定変更で導入できるようになる予定だ」と山本氏は説明した。

マイクロソフトは2つのソリューションを「GSA(グローバルセキュアアクセス)」と総称している。GSAに分類されるソリューションでは、クライアントOS向けのエージェントソフトウェアが用意されている。同ソフトウェアをクライアントにインストールことで、同社独自のWAN(Wide Area Network)である「MicrosoftグローバルプライベートWAN」に接続できるようになる。そして、同WANに接続したうえで、指定した通信を同社のネットワークを経由することで、目的のアプリケーションやリソースにアクセスできるようになるという。

  • 「Microsoft Entra Internet Access」と「Microsoft Entra Private Access」

    「Microsoft Entra Internet Access」と「Microsoft Entra Private Access」の概要

Microsoft Corporation Microsoft Entra開発部門 プリンシパルプロダクトマネージャーの兒玉雄介氏は、「GSAとアクセス制御や、テナント制限の機能を組み合わせることで、アクセス管理を向上することが可能だ。例えば、条件付きアクセスにおいて、特定のアプリケーションに対してはGSA経由でのアクセスのみ許容したり、自組織以外のMicrosoft 365テナントにアクセスさせないよう制限をかけたりといったID・アクセス管理を、OSの種別を問わずに適用することができる」と語った。

  • Microsoft Corporation Microsoft Entra開発部門 プリンシパルプロダクトマネージャー 兒玉雄介氏

    Microsoft Corporation Microsoft Entra開発部門 プリンシパルプロダクトマネージャー 兒玉雄介氏

Entra Internet AccessはWebアクセスを制御するSWG(Secure Web Gateway)の製品となり、条件付きアクセスによるポリシーをネットワーク条件とともに適用させることができる。今後はWebコンテンツのフィルタリング、インターネット上のWebサイトへの条件付きアクセスの強制、他社製品へのCAE(Continuous Access Evaluation、継続的アクセス評価)適用など、複数の機能拡張を予定しているという。

説明会では、インターネットを経由してMicrosoft 365のOutlookに届いたメールを閲覧する際にEntra Internet Accessを利用するデモが実施された。デモでは、GSAのエージェントをインストール済みのPCから、GSAネットワークを経由しないとOUtlookへのアクセスが許可されなかった。

  • 「Microsoft Entra Internet Access」のアーキテクチャ(イメージ)

    「Microsoft Entra Internet Access」のアーキテクチャ(イメージ)

Entra Private AccessはZTNA(ゼロトラストネットワークアクセス)の製品で、プライベートなアプリケーションやリソースへのアクセスを保護するための機能を提供する。

同製品では、GSAのエージェントをインストール済みのPCからマイクロソフトのネットワークを経由して社内LANにアクセスし、オンプレミスのアプリケーションに接続することができる。オンプレミス環境へのアクセスにあたっては、社内LANからマイクロソフトのネットワークに向けて外方向の通信(アウトバウンド)ができるサーバを用意する必要がある。

同製品は、TCP/UDPベースのプロトコルに対応している。また、多要素認証やパスワードレスなどオンプレミス環境のアプリケーションへの実装が難しい機能を、Entra IDによって実装することができるという。

  • 「Microsoft Entra Private Access」のアーキテクチャ(イメージ)

    「Microsoft Entra Private Access」のアーキテクチャ(イメージ)

マイクロソフトは今後、同社が提供するCASB(Cloud Access Security Broker)である「Microsoft Defender for Cloud Apps」と併せて、両ソリューションの一般提供を進めていく予定だ。