Integration
      ホームに戻る
      1. サポートセンター
      2. Safous ZTA Admin Guide
      3. Integration

      SafousによるMicrosoft EntraおよびAzure Managementの制限

      この手順では、Microsoft Entra と Safous を設定し、Safous Agent を使用して Microsoft Entra Dashboard と Azure Management Service へのアクセスを Safous のアプリケーションゲートウェイ IP アドレスからのみアクセスできるようにします。

      🚧注意
      アドレスからのみアクセスできるように制限されることにご注意ください。
      Application Gateway の送信アクセスには、静的なパブリック IP アドレスが必要です。アウトバウンドアクセスの IP アドレスが変更されると、Microsoft Entra の管理アクセスにアクセスできなくなります。

      この手続き実施で影響を受けるサービスのリストは、この記事の一番下にあるリンクを参照してください。

      この手順を進める前に、操作ミスに備えてバックアップ用のセカンダリ/一時的なグローバル管理者アクセス権を持っていることを確認してください。Entraポータルの設定ミスにより、管理者アカウントがロックアウトされ、設定を戻すことができなくなることがあります。

      1. entra.microsoft.com にログインし、グローバル管理者アカウントでログインします。
      2. Named Locationを作成します
        1. Protect and Secure -> Conditional Access -> Named locations -> add IP Ranges locationを選択します。
          kb-entra-restrict-1
        2. ロケーション名とIPアドレスのリストを追加し、信頼できるロケーションとしてマークします。複数のApp Gatewayがある場合は、App Gatewayの各アウトバウンドIPアドレスをここに追加します。
          初期設定時に、App Gatewayの送信IP以外のパブリックIPアドレス(オフィスのパブリックIPアドレスなど)を追加することを強く推奨します。これはアカウントのロックアウトを防ぐための方法です。
          kb-entra-restrict-2
        3.  SafousアプリケーションゲートウェイのパブリックIPアドレスを確認するには、SSHでアプリケーションゲートウェイに接続し、以下のコマンドを実行します。
          ipconfig.io
          (または、ipinfo.ioのようなcurlをサポートする他のIPアドレス追跡サービスを使用することもできます。) 
          kb-entra-restrict-3
      3.  新しい条件付きアクセスポリシーを作成します。
        kb-entra-restrict-4
        1.  ポリシー名を入力し、対象ユーザーを選択します。ポータルへの管理者アクセスを制限するため、対象ユーザーに管理者を追加します。
          kb-entra-restrict-5
        2. 制限するアプリを選択します。この場合、Microsoft Azure Managementを選択します。
          kb-entra-restrict-6
        3. 条件アクセスを設定し、条件として場所を選択します。
          kb-entra-restrict-7
        4. Configure セクションに場所の除外を追加します。先に作成した信頼できる場所を追加してください。
          kb-entra-restrict-8
        5. GrantセクションでBlockを選択します。これで、除外リストに追加した信頼できる場所以外の Azure Management Service へのアクセスがすべてブロックされます。
          kb-entra-restrict-9
        6. このポリシーのレポート専用モードを選択します。これは、信頼できる場所からポータルにアクセスできることを確認するために重要です。 
          kb-entra-restrict-14
      4.  Safousフルトンネル・ネットワーク・アプリケーションの設定
        1. https://support.safous.com/kb/is-it-possible-to-do-full-internet-access-via-safous をご参照ください。 
      5. 条件付きアクセスポリシーで追加したユーザーで、信頼できる場所にリストされていない IP アドレスから Microsoft Entra にログインしてみてください。
        1. Navigate to Protect and Secure -> Conditional Access -> Sign-in Logs
          に移動し、log entryをクリックして最新のログインを確認します(ログインとログエントリの表示には5分間の間隔があります)。 
        2. Report-only タブでは、信頼できる場所以外の IP アドレスからアクセスされた場合、Report-only: failureとなります。

          kb-entra-restrict-10
        3.  Result columnの横にある3つの点のアイコンをクリックすると、ログの詳細を見ることもできます。 

          kb-entra-restrict-11
      6.  Safous Agent を接続した後、完全なトンネルアクセス権を持つユーザーで Microsoft Entra にログインします。
        1.  前のテストと同じ手順で、sign-in logsをチェックします。
        2.  ポータルが信頼できる場所からアクセスされている場合、ログには
          Report-only: not appliedと表示されます。
          kb-entra-restrict-12
      7. 上記のログが表示された場合、制限ポリシーのモードをレポートのみからオンに変更して、制限ポリシーを有効にします(ステップ3fを参照)。これにより、ポリシーが適用され、信頼できない場所からのEntraおよびAzure管理リソースへのアクセスがブロックされます。 
      8.  信頼されていない場所からアクセスすると、以下の出力が表示されます。 
        kb-entra-restrict-13

      制限される Azure Management Services のリストについては、以下のリンクを参照してください: 

      https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-cloud-apps#microsoft-azure-management