Entra Internet AccessにおけるCAEの利用
MSサポートのEntra Internet Access関連のブログ記事に以下の記載がありました。
「条件付きアクセスや継続的なアクセス評価 (CAE) をインターネット上のリソースやクラウド アプリケーションなど、Entra ID とフェデレーションしていない 外部の対象にまで拡張 できます。」
具体的に、EIAとCAEを組み合わせると、インターネット上のリソースやクラウドアプリケーション(サードパーティのクラウドサービス)にアクセスする際に、どのようなメリットがあるのかイメージが湧かなかったので確認してみました。
メリット①条件付きアクセスポリシーの場所ポリシーに対するCAEの機能を享受できる
もともと、条件付きアクセスポリシーに対するCAEの機能を利用しようとすると、対象となるリソースプロバイダやクライアントアプリの種別に制限がありました(少なくとも、サードパーティのクラウドサービスへのアクセスに、条件付きアクセスポリシーのCAE機能は適用されませんでした)
しかしながら、EIAを経由して、サードパーティのクラウドサービス(Salesforceなど)へのアクセスを実現することで、上記の制限を回避できます。
EIAにおける 条件付きアクセスポリシーの「場所ポリシー」を厳密に適用するとした場合、評価対象の送信元 IP アドレスは、最終的に到達する(Salesforce などの)サードパーティーのクラウドサービスが認識するEIAのグローバル IP アドレスが評価対象となるのではなく、EIA を経由してインターネットアクセスが行われるよりも手前、もともとクライアント自身が持っている IP アドレスとなります。
例えば、GSA クライアントをインストールした端末からサードパーティーのクラウドサービスにインターネットアクセスを試みた場合に、本来クライアントが送信元アクセスに使うことを想定する IP アドレス以外からアクセスを試みた場合(例えば、職場外の IP アドレスなどからアクセスを試行した場合)、サードパーティーのクラウドサービスに到達する前に、Entra での 条件付きアクセスポリシー の設定に従った評価および評価結果に従った制御が実施され、通信が遮断されます。
そのため、場所(グローバルIP)を限定するような条件付きアクセスポリシーがあった場合に、
①職場内でEntra ID認証をして、サードパーティのクラウドサービスへ接続
②その後、職場外に移動して、サードパーティのクラウドサービスを継続利用
というシナリオにおいて、CAEの機能が効果を発揮し、②をリアルタイムでブロックできるようになります(EIAと組み合わせていない、単純な条件付きアクセスポリシーのみであれば、②はブロックできなかった)
★2026/4追記
しかしながら、「Salesforceのみをブロックする」ということは実現できず、EIAを経由したすべての通信がブロックされてしまいます
★2026/4追記ここまで
これが想定される一つ目のメリットです。
公開文書では以下のページに図解があります。
インターネットアクセス時に、Secure Service Edge を経由している点、Entra によりUniversal Conditional Access の評価が行われている点の表現があります。
この図中において、CAE によって場所ポリシーに合致しないアクセス元と判定されれば、図中⑤のトークンの付与やトンネルの確立が行われません。
https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-universal-conditional-access
Global Secure Access 経由のユニバーサル条件付きアクセス
しかしながら、メリット①の効果は限定的
EIAを利用するケースは、そもそも条件付きアクセスにてグローバルIPを絞らないケースが大半だと思います。
★EIA自体ゼロトラストの思想に基づき、場所を限定せずに、どこからでもセキュアなアクセスができる製品だと認識しているため、このように認識しています。
メリット①の効果は限定的だと思います。