Entra Private Accessとは
Microsoft Entra Private Accessは、VPNを使わずに社内のプライベートリソース(オンプレミスのアプリケーション、ファイルサーバー等)にゼロトラストでアクセスするサービスです。Microsoft Security Service Edge(SSE)ソリューションの一部として提供されています。
FortiGateのSSL-VPN廃止予定(FortiOS 7.6.x〜)やVPN装置の脆弱性を突いた攻撃の増加を受け、VPNに代わるリモートアクセス手段として注目されています。
VPNとの違い
| 項目 | 従来のVPN | Entra Private Access(ZTNA) |
|---|---|---|
| 接続モデル | ネットワーク全体に接続 | アプリケーション単位で接続 |
| 認証 | 接続時のみ認証 | アクセスごとに検証(ゼロトラスト) |
| 攻撃対象面 | VPN装置がインターネットに露出 | 装置なし(クラウドサービス) |
| ラテラルムーブメント | 接続後は社内NW内を移動可能 | 許可されたアプリのみアクセス |
| 条件付きアクセス | 連携困難 | Entra IDの条件付きアクセスと統合 |
| パッチ管理 | VPN装置のパッチ管理が必要 | Microsoftがクラウド側で管理 |
アーキテクチャ
- Global Secure Access Client:ユーザーのPCにインストールするクライアントアプリ
- Microsoftのグローバルネットワーク:クライアントからMicrosoftの最寄りPoPに接続
- Private Accessコネクタ:社内ネットワークに設置するコネクタ。社内リソースへのアクセスを中継
- Entra IDの条件付きアクセス:ユーザーID、デバイスの状態、場所等に基づくアクセス制御
VPN装置をインターネットに露出させる必要がなく、コネクタは社内からMicrosoftへのアウトバウンド接続のみで動作します。
ユースケース
- オンプレミスのファイルサーバーやイントラネットへのリモートアクセス
- 社内Webアプリケーション(勤怠システム、ERPのWeb画面等)へのアクセス
- RDP/SSHによるサーバー管理のリモートアクセス
- VPN装置のリプレイス・廃止
まとめ
Entra Private AccessはVPNの弱点(装置の脆弱性、ラテラルムーブメント、パッチ管理)を解消するZTNAサービスです。VPN装置の更新時期に合わせて移行を検討しましょう。