Go to Qiita Advent Calendar 2024 Top
LoginSignup
5
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@minoden_works

脱VPNの本命?Microsoft Entra Private Access を試す(準備編)

Posted at

背景

以前に書いたエントリの経緯もあり、期待していました。
・昨年のリリースからずっと気になっていたのですが時間&エネルギーがなく・・・
・わからないなりにちょっとずつ調べていきます。
・ポエムをはさみながらのスタイルなので嫌な方はごめんなさい。

Entra Private Access ってなに

・Windowsに専用クライアントアプリを入れることで、VPNみたいにオンプレ環境にアクセスできる
・オンプレ側はWindows Serverにアプリを入れてGWにして、Entraに常時疎通させるしくみ
・Entra Application Proxyの延長だが、httpsしかサポートしてなかったのがTCPフルサポートになった
image.png

メリット

  • 利用面:

・レガシーVPNみたいな1対1の対地接続じゃないので管理者のメンテが(比較的)ラク
・Entraへのhttpsアウトバウンド通信のみなのでFWにインバウンドの穴を開けないでよいのでセキュリティが向上&ラク
・クライアントソフトが証明書っぽくなるのでレガシー管理から脱却
・Conditional Accessと連携してデバイスの信頼性を担保してくれそう
・IT部門から「ゼロトラストなモダン管理(キリリッ)」みたいにいえば経営層にウケる(責任はもちません)

  • コスト面:

・Entra ID P1のライセンスがあれば追加費用なしで使える
・セキュリティ意識の高い会社ほどVPN管理にどえらい費用工数を払っていますが、どえらいコスト削減になる
・先進的な会社がCASBとかでどえらい費用工数をかけていたのも将来的に統合される?

デメリット

・まだこなれてない
・VPN選任で20年とかやってた会社や技術者がどえらいことになる
・こなれてくるのにまだかかりそうなのでしばらくは大丈夫でしょう
・社内にEntraやWindows Serverの知見や技術者が必要
・VPN専門の技術者とどっちがいいかは経営判断

手順

以下のサイトのほうが有用なのでそちらをまず御覧下さい。
https://qiita.com/carol0226/items/68adeee0c96b011ab1f5
https://qiita.com/hiyoshino/items/4786dee656adfe11c237
https://zenn.dev/microsoft/articles/645e632231735f
https://zenn.dev/skmkzyk/articles/me-private-access-routing
https://biz.kddi.com/content/column/managed_zerotrust/zerotrust_blog_10/
https://www.qes.co.jp/media/azure/a310
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-connectors
https://jpazureid.github.io/blog/azure-active-directory/microsoft-entra-private-access-an-identity-centric-zero-trust-network-access-solution/

GWインストール準備

・Proxmox上にWindows Server2025試用版を立てておきます。
・以下のコマンドを念のため打っておきました。
image.png

GWダウンロード

・コネクタのインストールにはEntra ID Premium P1が必要です。
・また、専用の管理者ロールも用意されているようです。
image.png
image.png

GWインストール

・実際にWindows Serverにインストールします。
image.png

・途中でIEのセキュリティのなんか懐かしいのが出てきてしまったので、設定します。サーバーマネージャからできます。
image.png

・インストールが完了しました。もし上位にプロキシがある場合は、PS1ファイルで設定ができるそうです。親切。
image.png
・Entraでも登録されています。
image.png

Entraでの設定

・クイックアクセスというのを試してみます。初心者向けに準備されているのはありがたいですね。
・RDP3389ポートをオンプレNWに許可するという形をテストします。
image.png

・コネクタごと、アプリごとという感じでユーザーへの権限アサインをします。このあたりの細かい権限設定がマイクロソフト風味を感じます。
image.png
・プライベートアクセスのプロファイルをオンにします。
image.png

クライアントのダウンロード

・Win版クライアントは141MBありました。そこそこデカいです。
・2024年6月現在、Apple用クライアントの先行アクセスもあるようです。開発中なのはしっかりこのビジネスを育てていく感じがして良かったです。
・Apple版はWebに情報も少ないので、試して報告させて頂きたいところですね。
image.png

クライアントのインストール

・ProxmoxのWin11 VMにインストールします。
image.png

・タスクバーに常駐されました。
image.png

・情報を開くと、設定が見れます。このあたりの情報の見せ方が他社製品より網羅的で、しっかりしているのが流石だと思います。
image.png

やらかした

・よく考えたらPrivate AccessサーバーとクライアントインストールしたVMがProxmox上の同じネットワークでした。。。
・アクセスしようとすると内部エラーになりました。同じIPセグメントなのでルーティングがおかしくなって困ってる感じでしょうか。
image.png

友蔵「後半へつづく」

・VLANを切って別のセグメントにすればよいのか、あるいはWAN IPが同じだからNGなのか。スキル不足でわかりませんでした。
・今日は時間切れになってしまったので、次回外部ネットワークから試してみたいと思います。

5
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?