2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@carol0226(Shuji Noguchi)inNTTデータ先端技術

[GSA:Private] クイックアクセス を構成する

Last updated at Posted at 2025-09-15

プライベート アクセス とは?

プライベートアクセス (Microsoft Entra Private Access) は、下図のような Microsoft Entra Global Secure Access (略:GSA) を実現するための 一部の構成要素です。

下図の赤丸の箇所が、プライベートアクセス の範囲 であり、GSA クライアント から、プライベートなネットワーク へ接続させる際の ルール を構成します。
image.png

GSA について
以下の記事が 全体像の説明と 詳細記事へジャンプできるサマリー になっています。

Microsoft Entra Global Secure Access の全体像
https://qiita.com/carol0226/items/29cba6c32a22893a1349

プライベートアクセス について

プライベートアクセス を構成することで、GSA に接続した クライアント PC が 組織内のネットワーク に アクセス ができるようになります。

接続するユーザーごとに、接続できる社内リソースを 許可・拒否 することが可能になります。

構成の種類
構成には、クイックアクセスアプリごとのアクセス の2種類があります。
まず、クイックアクセス を構成し ホスト to ホスト で プライベートアクセス が利用できることを確認したのちに、アプリごとのアクセス へ ステップアップ すると良いと思います。

構成方法 ▶
▼ 違い		 クイックアクセス アプリごとのアクセス
構成の手軽さ 高い
(初期構成が簡単)		 中程度
(アプリごとに設定が必要)
制御粒度
(FQDN/IP単位)
(アプリ単位)
適した用途 VPN 代替
広範な社内リソース公開		 機密アプリ
部門別制御
最小特権アクセス

本記事では、クイックアクセス について取り上げます。

1. クイックアクセスを構成する

1.Microsoft Entra管理センター に 管理者アカウントを使って サインインします。
https://entra.microsoft.com

2.グローバル セキュア アクセス > アプリケーション > クイック アクセス に移動します。
表示された画面で、名前 欄に "任意の名前" 画面では クイックアクセス と入力します。
コネクタグループ 欄は、既定値 のままで構いません(作成済みの コネクタグループ 名が表示されています)
続いて、+クイックアクセスのアプリケーションセグメントを追加 を押します。
image.png

コネクタグループ名が "Default - アジア" になっている理由は、下図のように コネクタグループ を表示させて、右側に表示されたウィンドウで、国/地域の選択 欄が アジア になっているためです。これは、プライベートネットワークコネクタ が配置されたインターネット上の場所 によって識別されているものと思われます。

3.アプリケーションセグメントの追加 ウィンドウでは、プライベートアクセス での利用を許可させたい ネットワークセグメント および FQDN を、ポート単位で指定します。
下図は、avd.server-on.net というドメイン および 10.10.10.0/24 のネットワーク範囲に対して、TCP/UDP (0~65535) を許可する例になります。
入力が終わったら。適用 を押して進めます。

ドメイン(ワイルドカード + FQDN)

ドメイン(FQDN) ※Hybrid Join 構成で、ドメインコントローラーがある場合

ドメイン コントローラーを公開する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-kerberos-sso?wt.mc_id=MVP_407731#publish-domain-controllers

上記の公開情報で説明されているとおり、ワイルドカード FQDN を使用せずに指定する旨が説明されているため、このように設定しています。

image.png

ネットワーク範囲 (CIDR)

4.以下のように アプリケーションセグメント が追加されます。
続いて、プライベート DNS タブを選択します。
image.png

5.(任意)コネクタサーバーが、ドメインに参加している場合には、実施を推奨します。
プライベート DNS を有効にする の欄に チェック を入れます。
その後、+DNS サフィックスの追加 を押します。
image.png

6.以下の画面では、DNS サフィックス を追加します。
下図の例では、Active Directory のドメイン名 を入力しています。

7.保存 を選択して、クイックアクセス アプリを作成します。
image.png

DNS サフィックスを設定した場合
DNS サフィックスを設定すると、ホスト名 のみで名前解決が可能になります。
image.png

公開情報:プライベート DNS サフィックスを追加する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-quick-access?wt.mc_id=MVP_407731#add-private-dns-suffixes

プライベート DNS が無効の場合
image.png
名前解決ができません。この場合は、IP アドレス でしか通信ができません。
image.png

8.以下の通知が表示されれば OK です。

9.プライベートコネクタが設置されているサーバーから、実際に ネットワーク上へ疎通が行われて、疎通が確認されると、以下のように 成功 と表示されます。
image.png

公開情報:クイック アクセスを構成する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-quick-access?wt.mc_id=MVP_407731#configure-quick-access

2. ユーザーとグループの割り当て

クイックアクセスで定義したアプリケーションセグメントに、ユーザーを割り当てます。
ここで割り当てが行われたユーザーだけが、定義した アプリケーションセグメント に対してアクセスができるようになります。

1.クイックアクセス画面の上部にある アプリケーション設定を編集する を選択します。
image.png

2.以下の画面で、ユーザーとグループ を押し そのあと ユーザーまたはグループの追加 を押します。
image.png

3.ユーザーの一覧を表示させ、任意のユーザーを選択します。
選択されたら、「割り当て」を押します。
image.png

4.選択したユーザーが 以下の通り 一覧に表示されていれば OK です。
image.png

公開情報:ユーザーとグループの割り当て
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-quick-access?wt.mc_id=MVP_407731#assign-users-and-groups

3. プライベート アクセス プロファイル を有効にする

左ペインから グローバルセキュアアクセス > 接続 > トラフィック転送 を選択し、プライベート アクセス プロファイル有効 にします。
image.png

クイック アクセス を構成する前にプロファイルを有効にできますが、アプリとプロファイルを構成しないと、転送するトラフィックがありません。

公開情報:Microsoft Entra Private Access を有効にする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-quick-access?wt.mc_id=MVP_407731#enable-microsoft-entra-private-access

ユーザーの割り当て

この作業は、各プロファイルごとに行います。

1.下図の通り、ユーザーおよびグループの割り当て 欄の 表示 を選択します。

2.下図の通り、 すべてのユーザーに割り当てる 欄を はい に変更します。

ポイント
ここでは、GSA の インターネット アクセス の機能を利用するユーザーを指定しています。
これより詳細レベルで、セキュリティプロファイル単位で ユーザーを割り当てる場面があるので、ここでは おおまかに、全員 または プライベートプロファイルのライセンスを所持しているグループ などを割り当てるのが適していると思います。

公開情報:トラフィック転送プロファイルにユーザーとグループを割り当てる方法
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-manage-users-groups-assignment?wt.mc_id=MVP_407731

4. トラブルシューティング

以下の公開情報は、「アプリごとのアクセス」用のタイトルになっていますが、クイックアクセス でも有用なので、紹介しておきます。

公開情報:アプリケーションアクセスのトラブルシューティング
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-app-access?wt.mc_id=MVP_407731

5. Active Directory ドメインの場合(研究中)

前章までの構成で、Active Directory ドメインにログオンしたところ、Kerberos チケットを取得できない問題に遭遇していました。ですが、忘れた頃に Kerberos チケットが取得されていることも観察できていました。

これは おそらく 以下の Kerberos ネガティブキャッシュ によるものだと考えられます。
もう少し詳細が判明したら、記事を更新する予定です。

Windows マシンで Kerberos のネガティブ キャッシュを回避する方法
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-kerberos-sso?wt.mc_id=MVP_407731#how-to-avoid-kerberos-negative-caching-on-windows-machines

これも合わせて、要注意!
Windows デバイスでのプライマリ更新トークンの問題のトラブルシューティング
https://learn.microsoft.com/ja-jp/entra/identity/devices/troubleshoot-primary-refresh-token?wt.mc_id=MVP_407731

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?