GSA の Web コンテンツ フィルタリング とは?
GSA の Web コンテンツ フィルタリング を利用するためには、まず GSA の インターネットアクセス が動作していることが前提となります。
インターネットアクセス (Microsoft Entra Internet Access) は、下図のような Microsoft Entra Global Secure Access (略:GSA) を実現するための 一部の構成要素です。
下図の赤丸の箇所が、インターネットアクセス の全体像であり、デバイス が、インターネット へ接続する際に介在し、Web コンテンツ フィルタリング を適用させています。
GSA について
以下の記事が 全体像の説明と 詳細記事へジャンプできるサマリー になっています。
Microsoft Entra Global Secure Access の全体像
https://qiita.com/carol0226/items/29cba6c32a22893a1349
本記事のポイント
本記事で紹介する手順は、以下の公開情報 の内容をもとに、私がおススメする具体的な設定内容を示したものになっています。何も考えずに、この記事を同じ設定を登録していけば、それっぽい動作を体感できます。
公開情報:グローバル セキュア アクセス Web コンテンツ フィルタリングを構成する方法
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering?wt.mc_id=MVP_407731
前提事項
① GSA インターネットアクセスの有効化
GSA の Web コンテンツ フィルタリング を動作させるためには、インターネット アクセス が構成済みである必要があります。以下の記事を参照し インターネット アクセス を機能させておいてください。
[GSA] Microsoft Entra インターネット アクセス を構成する
https://qiita.com/carol0226/items/ae2bfdb209170fb41bae
② 条件付きアクセス の有効化
Web コンテンツフィルタリング を利用するためには、テナントで 条件付きアクセス が利用できるようになっている必要があります。条件付きアクセス の初回利用については、以下の記事を参照してください。
セキュリティの既定値群 と 条件付きアクセス の初回利用について
https://qiita.com/carol0226/items/51a70a561b78af567972
作業の概要
Web コンテンツフィルタは、以下の 1.~3. の設定が すべて構成されている際に動作します。
それぞれの設定が、階層構造で参照しあっているため、1つでも欠けてしまうと 採用されないルールとなってしまうためです。
1. Web コンテンツフィルタの作成
※まず初めに作る必要があります。
2. セキュリテイプロファイルの割り当て
※セキュリティプロファイルを作る際に、Web コンテンツフィルタ を割り当てます。
複数の Web コンテンツフィルタ を セキュリティプロファイル に登録することができます。
3. 条件付きアクセスの適用
※条件付きアクセス を作る際に、セキュリティプロファイル を割り当てます。
これによって、GSA のトラフィックに セキュリティプロファイル が適用されるようになります。
4. Web コンテンツフィルタの動作確認
ポイント
1.~3. は、任意のルールを作成できるのですが、仕組みを理解し バランスの良いルールを構成するのは、非常に大変です。次章からは、私が おススメ したい設定を紹介しているので、手順に沿って設定してみて下さい。
設定の仕組みに慣れたら、自由にルールを構成すると良いと思います。
ポイント1:ログが見やすくなる
私の おススメ設定 を活用することで、以下のように ログを見たときに どのポリシーに引っかかったのかが分かりやすくなります。
ポイント2:わかりやすいジャンル名で、おおざっぱにルールを制御できる
以下は、一般的なネットサーフィン と ビジネスでの利用 を Disable にして、対象外にしています。
ポイント3:カテゴリではフィルタされてしまう URL を除外できる
以下は、カテゴリブロックされている Qiita.com を除外対象にしています。
構築手順
1. Web コンテンツフィルタの作成
1.Microsoft Entra 管理センター へアクセスします。
https://entra.microsoft.com
2.左ペインを操作し グローバルセキュアアクセス - 安全 - Web コンテンツフィルターポリシー を開きます。
最終的な構成
1.章をすべて実施すると、以下のような設定になります。
この完成形をイメージしながら、1-1.~1-7. の手順を実施してください。
1-1. 有害・不適切・高リスクコンテンツ(Liability)
1.以下の画面で +ポリシーの作成 を押します。
2.基本 タブで 名前欄に 有害・不適切・高リスクコンテンツ(Liability) と入力し、アクション欄は Block を選択して 次へ を押します。
3.ポリシールール タブでは、+規則の追加 を押します。
4.名前欄に 有害・不適切・高リスクコンテンツ(Liability) と入力し、宛先の種類 は webCategory を選択し、検索欄に Liability と入力します。
続いて、緑枠内に表示された カテゴリを 1つずつ すべて選択して 追加 を押します。
これで、有害・不適切・高リスクコンテンツ に該当するコンテンツが すべて 選ばれた状態になっています。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
続いて、次のポリシーを追加するために +ポリシーの作成 を押して、次の章に進みます。
1-2. 高帯域幅(HighBandwidth)
1.基本 タブで 名前欄に 高帯域幅(HighBandwidth) と入力し、アクション欄は Block を選択して 次へ を押します。
2.ポリシールール タブでは、+規則の追加 を押します。
3.名前欄に 高帯域幅(HighBandwidth) と入力し、宛先の種類 は webCategory を選択し、検索欄に HighBandwidth と入力します。
続いて、緑枠内に表示された カテゴリを 1つずつ すべて選択して 追加 を押します。
4.以下の表示になったことを確認し 次へ を押して進みます。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
続いて、次のポリシーを追加するために +ポリシーの作成 を押して、次の章に進みます。
1-3. 一般的なネットサーフィン(GeneralSurfing)
1.基本 タブで 名前欄に 一般的なネットサーフィン(GeneralSurfing) と入力し、アクション欄は Block を選択して 次へ を押します。
2.ポリシールール タブでは、+規則の追加 を押します。
3.名前欄に 一般的なネットサーフィン(GeneralSurfing) と入力し、宛先の種類 は webCategory を選択し、検索欄に GeneralSurfing と入力します。
続いて、緑枠内に表示された カテゴリを 1つずつ すべて選択して 追加 を押します。
4.以下の表示になったことを確認し 次へ を押して進みます。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
続いて、次のポリシーを追加するために +ポリシーの作成 を押して、次の章に進みます。
1-4. ビジネスでの利用(BusinessUse)
1.基本 タブで 名前欄に ビジネスでの利用(BusinessUse) と入力し、アクション欄は Block を選択して 次へ を押します。
2.ポリシールール タブでは、+規則の追加 を押します。
3.名前欄に ビジネスでの利用(BusinessUse) と入力し、宛先の種類 は webCategory を選択し、検索欄に BusinessUse と入力します。
続いて、緑枠内に表示された カテゴリを 1つずつ すべて選択して 追加 を押します。
4.以下の表示になったことを確認し 次へ を押して進みます。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
続いて、次のポリシーを追加するために +ポリシーの作成 を押して、次の章に進みます。
1-5. 生産性の低下(Productivity)
1.基本 タブで 名前欄に 生産性の低下(Productivity) と入力し、アクション欄は Block を選択して 次へ を押します。
2.ポリシールール タブでは、+規則の追加 を押します。
3.名前欄に 生産性の低下(Productivity) と入力し、宛先の種類 は webCategory を選択し、検索欄に Productivity と入力します。
続いて、緑枠内に表示された カテゴリを 1つずつ すべて選択して 追加 を押します。
4.以下の表示になったことを確認し 次へ を押して進みます。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
続いて、次のポリシーを追加するために +ポリシーの作成 を押して、次の章に進みます。
1-6. 未分類(Uncategorized)
1.基本 タブで 名前欄に 未分類(Uncategorized) と入力し、アクション欄は Block を選択して 次へ を押します。
2.ポリシールール タブでは、+規則の追加 を押します。
3.名前欄に 未分類(Uncategorized) と入力し、宛先の種類 は webCategory を選択し、検索欄に Uncategorized と入力します。
続いて、緑枠内に表示された カテゴリを 1つずつ すべて選択して 追加 を押します。
4.以下の表示になったことを確認し 次へ を押して進みます。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
続いて、次のポリシーを追加するために +ポリシーの作成 を押して、次の章に進みます。
1-7. 例外 URL
続いて、例外処理用のルールを作成します。
1.基本 タブで 名前欄に 例外 URL と入力し、アクション欄は Allow を選択して 次へ を押します。
ポイント
前章までの設定は Block でしたが、今回の設定は、★ で記載したとおり、Allow なので、注意してください。
2.ポリシールール タブでは、+規則の追加 を押します。
3.名前欄には、例外対象にするサイトの名前(例:Qiita)を入力します。
宛先の種類 は fqdn を選択し、宛先欄に URL(例:qiita.com,*.qiita.com)を入力します。
最後に 追加 を押します。
ポイント
URL を指定する際に *.qiita.com だけだと、qiita.com のページは対象にはなりません。
そのため、qiita.com と *.qiita.com の両方を設定する必要があります。
4.以下の表示になったことを確認し 次へ を押して進みます。
5.レビュー タブでは、ポリシーの作成 を押します。
6.以下のように ポリシーが追加されていれば OK です。
公開情報:Web コンテンツのフィルター処理ポリシーを作成する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering?wt.mc_id=MVP_407731#create-a-web-content-filtering-policy
Web のカテゴリについて
以下の公開情報に カテゴリー の一覧が記載されています。
公開情報:グローバル セキュア アクセス Web コンテンツのフィルター処理カテゴリ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-web-content-filtering-categories?wt.mc_id=MVP_407731
2. セキュリテイプロファイルの割り当て
1.引き続き Microsoft Entra 管理センターで、左ペインを操作し グローバルセキュアアクセス - 安全 - セキュリティプロファイル を開きます。
続いて、開いた画面上で +プロファイルの作成 ボタンを押します。
2.基本情報 タブでは、プロファイル名 欄に 任意の名前(例:Webカテゴリフィルタリング)と入力し、状態 欄 は enabled、優先度 欄 は、100 であることを確認して 次へ を押して進めます。
3.リンクポリシー タブでは +ポリシーのリンク ボタンを押し ドロップダウンメニューから 既存の Web コンテンツの制限ポリシー を選択します。
4.下図の通り ポリシー名 欄は 例外 URL を選択し、優先度 欄 が 100、状態 欄 が Enabled となっていることを確認し 追加 を押します。
5.1行追加されているため、前回と同様に +ポリシーのリンク ボタンを押し ドロップダウンメニューから
既存の Web コンテンツの制限ポリシー を選択します。
6.下図の通り ポリシー名 欄は 有害・不適切・高リスクコンテンツ(Liability) を選択し、優先度 欄 が 110、状態 欄 が Enabled となっていることを確認し 追加 を押します。
注意
やりがちなのが、すでに存在する 優先度 と被って追加しようとすると、以下のエラーがでます。
この場合は、すでに 優先度 100 のルールがあるにも関わらず、100 で追加をしようとした場合です。
7.1行追加されているため、前回と同様に +ポリシーのリンク ボタンを押し ドロップダウンメニューから
既存の Web コンテンツの制限ポリシー を選択します。
8.下図の通り ポリシー名 欄は 高帯域幅(HighBandwidth) を選択し、優先度 欄 が 120、状態 欄 が Enabled となっていることを確認し 追加 を押します。
9.1行追加されているため、前回と同様に +ポリシーのリンク ボタンを押し ドロップダウンメニューから
既存の Web コンテンツの制限ポリシー を選択します。
10.下図の通り ポリシー名 欄は 一般的なネットサーフィン(GeneralSurfing) を選択し、優先度 欄 が 130、状態 欄 が Enabled となっていることを確認し 追加 を押します。
11.1行追加されているため、前回と同様に +ポリシーのリンク ボタンを押し ドロップダウンメニューから
既存の Web コンテンツの制限ポリシー を選択します。
12.下図の通り ポリシー名 欄は ビジネスでの利用(BusinessUse) を選択し、優先度 欄 が 140、状態 欄 が Enabled となっていることを確認し 追加 を押します。
13.1行追加されているため、前回と同様に +ポリシーのリンク ボタンを押し ドロップダウンメニューから
既存の Web コンテンツの制限ポリシー を選択します。
14.下図の通り ポリシー名 欄は 生産性の低下(Productivity) を選択し、優先度 欄 が 150、状態 欄 が Enabled となっていることを確認し 追加 を押します。
15.1行追加されているため、前回と同様に +ポリシーのリンク ボタンを押し ドロップダウンメニューから
既存の Web コンテンツの制限ポリシー を選択します。
16.下図の通り ポリシー名 欄は 未分類(Uncategorized) を選択し、優先度 欄 が 160、状態 欄 が Enabled となっていることを確認し 追加 を押します。
17.リンクポリシー タブのページで、追加した ポリシーのリンクが表示されていることを確認し 次へ を押します。最後に レビュー タブのページで、プロファイルの作成 を行います。
18.以下の通知が表示されるため タイトルをクリックしてください の箇所をクリックします。
19.以下の通り、デプロイ ログ のページへ遷移します。状態 が デプロイが進行中 になっています。
このまま、次の手順へ進めてしまって構いませんが、設定は デプロイ成功 に遷移してから機能しますので、覚えておいてください。
20.本章で設定した内容は、最終的に 以下のような画面になっているはずです。
公開情報:セキュリティ プロファイルを作成する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering?wt.mc_id=MVP_407731#create-a-security-profile
3. 条件付きアクセスの適用
前章で作成した セキュリティプロファイル を 条件付きアクセス に割り当てます。
1.Microsoft Entra 管理センター の左ペインを操作し Entra ID から 条件付きアクセス を開きます。続いて ポリシー を選択し、表示された画面から +新しいポリシー を押します。
2.名前欄には、任意の名称(例:Webフィルタリング)を入力し、ユーザー の欄を選択します。
続いて、表示された画面で すべてのユーザー を選択します。
ポイント
上記の手順では、すべてのユーザーを選択しています。
なお、複数の セキュリティプロファイル を作成しておき、ここの設定で グループごとに、別々のセキュリティプロファイル を割り当てることが可能です。
2.(任意)対象外 のタブで ディレクトリロール を選択します。
ドロップダウンのリスト内では、グローバル管理者 を選択しました。
この設定により、グローバル管理者 だけを Web フィルタリング の対象外とすることができます。
3.ターゲット リソース を選択します。
右側の画面では グローバル セキュア アクセスを使ったすべてのインターネットリソース を選択します。
4.セッション を選択し、右側に表示された画面で グローバルセキュアアクセスのセキュリティプロファイルを使用する にチェックを入れ、ドロップダウンから 前章で作成した セキュリティプロファイル の名称を選択します(例:Webカテゴリフィルタリング)
続いて、ポリシーの有効化 欄を オン に変更し 作成 を押します。
5.以下の通知が表示されれば OK です。
公開情報:条件付きアクセス ポリシーを作成およびリンクする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering?wt.mc_id=MVP_407731#create-and-link-conditional-access-policy
4. Web コンテンツフィルタの動作確認
ここまで構成が完了すると、実際に GSA クライアント で Web サイトを参照すると、フィルターが適用されていることを確認することができます。
この記事の設定例のとおりに構成した場合は、Qiita のサイトのみ表示され、その他のサイトは ブロック されていることが確認できると思います。
なお、以下の通り HTTP のサイトと HTTPS のサイトでは、表示のされ方が違います。
HTTP の場合
例:http://abehiroshi.la.coocan.jp を参照した場合
以下のような画面となり、More info を開くと、どのカテゴリでブロックされたのかまで判ります。
シンプルな HTML で構成されている事で有名な 阿部寛さんのサイトを使わせていただきました。
HTTP で公開されているサイトを見つけようとして、真っ先に思いつきました。
HTTPS の場合
例:https://www.amazon.co.jp を参照した場合
以下の通り、タイムアウトしたような表示になり、なぜ接続できなかったのかの表示はされません。
以下の公開情報にも、上記のことが説明されています。
公開情報:エンド ユーザー ポリシーの適用を確認する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering?wt.mc_id=MVP_407731#verify-end-user-policy-enforcement
ログの参照方法
Webコンテンツフィルタリングで、サイトがどのカテゴリに該当したのかを ログで確認する知る方法です。
以下の トラフィック ログ から、確認することができます。
トランザクション のタブを選択します。
なお、Web カテゴリ と フィルタリングポリシー名 列が デフォルトで 非表示 になっているので、以下を参考に チェック を入れましょう。
そうすると、以下の通り、各サイトが どのジャンルのカテゴリに該当したのかが分かります。
5. 一部の カテゴリ を許可したい場合
前章まで構成した状態だと、Qiita のサイト以外は、すべてブロックされている状態です。
この状態から、任意のカテゴリ だけを除外することで、目的の動作にしていきます。
1.下図の通り、セキュリティプロファイル の設定画面をひらき、プロファイルの一覧から 右側の ・・・ を開いてから 編集 を選択します。
2.以下の通り リンクポリシー を選択すると、プロファイル に割り当てられている ポリシー が一覧表示されます。
ここで、ごみ箱 ボタンを押して、不要な ポリシーを削除しても良いですし、下図の通り 鉛筆マーク をクリックして、一時手に Disable にすることでも構いません。
以下の例では、ビジネスでの利用 を Disable にしています。
以下のように ビジネスでの利用 のみが Disable になりました。
このあと、デプロイログ で、状態が デプロイ成功 になるまで、待ちます。
これで、再度テストを行い ビジネスでの利用 に該当するサイトが表示されるようになったことを確認できれば OK です。
先ほど、テストで使ったサイトは、以下の振る舞いに変わります。
例:http://abehiroshi.la.coocan.jp を参照した場合
→ カテゴリが「ビジネスでの利用」のため、参照できるようになります。
例:https://www.amazon.co.jp を参照した場合
→ カテゴリが「生産性の低下」 のため、引き続き 参照ができません。
以上の動作を確認することができたら、あとは お好みの設定を目指して、カスタマイズ して利用してください。