プライベート アクセス トラフィック転送プロファイルは、Global Secure Access クライアント経由でプライベート ネットワークにトラフィックをルーティングします。 このトラフィック転送プロファイルを有効にすると、リモートの作業者が VPN なしで内部リソースに接続できます。 Microsoft Entra Private Access の機能を使用すると、どのプライベート リソースがサービスをトンネリングするかを制御し、条件付きアクセス ポリシーを適用して、それらのサービスへのアクセスをセキュリティで保護できます。 構成が整ったら、これらの構成すべてを 1 か所から表示および管理できます。
前提条件
テナントのプライベート アクセス転送プロファイルを有効にするには、次のものが必要です。
- Microsoft Entra ID の グローバルセキュアアクセス管理者 ロール。
- 条件付きアクセス ポリシーを作成して操作するための条件付きアクセス管理者ロール。
- この製品にはライセンスが必要です。 詳細については、「 グローバルセキュリティで保護されたアクセスとは」のライセンスセクションを参照してください。 必要に応じて、 ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。
Private Access トラフィック転送プロファイルを有効にする
- グローバル セキュリティで保護されたアクセス管理者として Microsoft Entra 管理センターにサインインします。
- グローバル セキュア アクセス>接続>トラフィック転送を参照してください。
- プライベート アクセス プロファイルのチェック ボックスをオンにします。
プライベート アクセス ポリシー
プライベート アクセス トラフィック転送プロファイルを有効にするには、まずクイック アクセスを構成することをお勧めします。 クイック アクセスには、ポリシーに含めるプライベート リソースの IP アドレス、IP 範囲、完全修飾ドメイン名 (FQDN) が含まれます。 詳細については、「 クイック アクセスの構成」を参照してください。
プライベート アクセス アプリを作成して、アプリごとのプライベート リソースへのアクセスを構成することもできます。 クイック アクセスと同様に、新しいエンタープライズ アプリを作成します。それをプライベート アクセス トラフィック転送プロファイルに割り当てることができます。 クイック アクセスには、常にサービス経由でルーティングするプライベート リソースのメイン グループが含まれます。 プライベート アクセス アプリは、クイック アクセスに含まれる FQDN と IP アドレスに影響を与えることなく、必要に応じて有効または無効にできます。
プライベート アクセス トラフィック転送ポリシーに含まれる詳細を管理するには、プライベート アクセス ポリシーの [表示] リンクを選択します。
![[アプリケーションの表示] リンクが強調表示されているプライベート アクセス プロファイルのスクリーンショット。](media/how-to-manage-private-access-profile/private-access-profile-link.png)
プライベート アクセスのクイック アクセスとエンタープライズ アプリの詳細が表示されます。 アプリケーションのリンクを選択して、Microsoft Entra ID の [エンタープライズ アプリケーション] 領域から詳細を表示します。
リンクされた条件付きアクセス ポリシー
プライベート アクセスの条件付きアクセス ポリシーは、アプリごとにアプリケーション レベルで構成されます。 条件付きアクセス ポリシーは、アプリケーションに対して次の 2 つの場所から作成して適用できます。
- グローバル セキュリティで保護されたアクセス>アプリケーション>Enterprise アプリケーションに移動します。 アプリケーションを選択し、サイド メニューから [条件付きアクセス ] を選択します。
- Entra ID>Conditional Access>Policies に移動します。 [ + 新しいポリシーの作成] を選択します。
詳細については、「 プライベート アクセス アプリに条件付きアクセス ポリシーを適用する」を参照してください。
ユーザーおよびグループの割り当て
プライベート アクセス プロファイルのスコープは、特定のユーザーとグループに設定できます。 ユーザーとグループは、プライベート アクセス アプリとトラフィック転送プロファイルの両方に割り当てる必要があります。
ユーザーとグループの割り当ての詳細については、「 トラフィック転送プロファイルを使用してユーザーとグループを割り当てて管理する方法」を参照してください。
次のステップ
Microsoft Entra Internet Access の使用を開始する次の手順は、 エンドユーザー デバイスにグローバル セキュア アクセス クライアントをインストールして構成することです。
プライベート アクセスの詳細については、次の記事を参照してください。