Entra Internet AccessにおけるCAEの利用

MSサポートのEntra Internet Access関連のブログ記事に以下の記載がありました。

「条件付きアクセスや継続的なアクセス評価 (CAE) をインターネット上のリソースやクラウド アプリケーションなど、Entra ID とフェデレーションしていない 外部の対象にまで拡張 できます。」

具体的に、EIAとCAEを組み合わせると、インターネット上のリソースやクラウドアプリケーション(サードパーティのクラウドサービス)にアクセスする際に、どのようなメリットがあるのかイメージが湧かなかったので確認してみました。

メリット①条件付きアクセスポリシーの場所ポリシーに対するCAEの機能を享受できる

もともと、条件付きアクセスポリシーに対するCAEの機能を利用しようとすると、対象となるリソースプロバイダやクライアントアプリの種別に制限がありました(少なくとも、サードパーティのクラウドサービスへのアクセスに、条件付きアクセスポリシーのCAE機能は適用されませんでした)

しかしながら、EIAを経由して、サードパーティのクラウドサービス(Salesforceなど)へのアクセスを実現することで、上記の制限を回避できます。

EIAにおける 条件付きアクセスポリシーの「場所ポリシー」を厳密に適用するとした場合、評価対象の送信元 IP アドレスは、最終的に到達する(Salesforce などの)サードパーティーのクラウドサービスが認識するEIAのグローバル IP アドレスが評価対象となるのではなく、EIA を経由してインターネットアクセスが行われるよりも手前、もともとクライアント自身が持っている IP アドレスとなります。

例えば、GSA クライアントをインストールした端末からサードパーティーのクラウドサービスにインターネットアクセスを試みた場合に、本来クライアントが送信元アクセスに使うことを想定する IP アドレス以外からアクセスを試みた場合(例えば、職場外の IP アドレスなどからアクセスを試行した場合)、サードパーティーのクラウドサービスに到達する前に、Entra での 条件付きアクセスポリシー の設定に従った評価および評価結果に従った制御が実施され、通信が遮断されます。

そのため、場所(グローバルIP)を限定するような条件付きアクセスポリシーがあった場合に、

①職場内でEntra ID認証をして、サードパーティのクラウドサービスへ接続

②その後、職場外に移動して、サードパーティのクラウドサービスを継続利用

というシナリオにおいて、CAEの機能が効果を発揮し、②をリアルタイムでブロックできるようになります(EIAと組み合わせていない、単純な条件付きアクセスポリシーのみであれば、②はブロックできなかった)

これが想定される一つ目のメリットです。

公開文書では以下のページに図解があります。

インターネットアクセス時に、Secure Service Edge を経由している点、Entra によりUniversal Conditional Access の評価が行われている点の表現がございます。

この図中において、CAE によって場所ポリシーに合致しないアクセス元と判定されれば、図中⑤のトークンの付与やトンネルの確立が行われません。

https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-universal-conditional-access

Global Secure Access 経由のユニバーサル条件付きアクセス

しかしながら、メリット①の効果は限定的

EIAを利用するケースは、そもそも条件付きアクセスにてグローバルIPを絞らないケースが大半だと思います。

★EIA自体ゼロトラストの思想に基づき、場所を限定せずに、どこからでもセキュアなアクセスができる製品だと認識しているため、このように認識しています。

メリット①の効果は限定的だと思います。

メリット②シグナルを利用したCAEの機能を享受できる。

EIAは、Entra IDから各種シグナルを受信することができます

Entra 上のユーザーアカウントが削除、無効化された場合や管理者によって明示的に認可を取り消しといった対応がなされていないか(シグナル有無)をインターネットアクセスの発生時に継続的に評価(CAE)することが、EIAでは可能です

これにより、「Entra ユーザーアカウントの不正利用を検知したアカウントによる通信は即時に再認証を要求する」といった制御が可能となります。

https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-universal-continuous-access-evaluation#microsoft-entra-id-signals-that-trigger-universal-cae-reauthentication

EIAは、Entra IDから受信できる各種シグナルは以下となります。

  • ユーザーアカウントが削除または無効化された
  • ユーザーのパスワードが変更またはリセットされた
  • ユーザーに対して多要素認証が有効化された
  • 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
  • 高いユーザー リスクが Microsoft Entra ID 保護によって検出された

EIA経由せずに、サードパーティのクラウドサービスへ接続する場合は、一度Entra IDで認証が完了して、「クライアント⇔クラウドサービス間」で一度httpセッションが確立されてしまえば、その後Entra ID上のユーザを削除したとしても、httpセッションが切断されるまでは、「クライアント⇔クラウドサービス間」は継続的に通信できてしまいました。問題となるケースとしては、EntraIDユーザアカウントが侵害された場合に、即時でサードパーティのクラウドサービスへのアクセスをブロックしたいと管理者が思っても、httpセッションが確立された「クライアント⇔クラウドサービス間」通信は、Entra IDではブロックできなかったのです。しかしながら、クラウドサービスへの通信をEIA経由として、CAE機能を利用することで、ブロックできるようになるのがメリットです。

Entra

Posted by MITSUAKI TSURUTA