Microsoft Entra デプロイ シナリオの概要

この Microsoft Entra デプロイ シナリオでは、以下の Microsoft Entra スイート製品を組み合わせてテストする方法に関する詳細なガイダンスを提供します。

• Microsoft Entra ID Protection
• Microsoft Entra ID Governance
• Microsoft Entra Verified ID (プレミアム機能)
• Microsoft Entra インターネット アクセス
• Microsoft Entra プライベート アクセス

各ガイドでは、Microsoft Entra スイートの価値および各機能がどのように連携して機能するのかを示すシナリオについて説明します。

すべてのアプリにわたる従業員とゲストのオンボード、ID、およびアクセスのライフサイクル ガバナンス

「従業員とゲストのオンボード、ID、およびアクセスのライフサイクル ガバナンス」シナリオでは、以下の目標について説明しています。

• リモートの従業員が必要なアプリやリソースに安全かつシームレスにアクセスできるようにする。
• 関連するアプリやリソースへのアクセスを外部ユーザーに提供して共同作業する。

この段階的なソリューションは、Microsoft Entra Verified ID、Azure Active Directory Identity Governance、Microsoft Entra ID 保護、条件付きアクセス (CA) に焦点を当てています。

• Microsoft Entra Verified ID は、リモートの従業員と外部ユーザーに対してデジタル ID 証明を発行し、検証します。 デジタル ウォレットには、アプリやリソースへのアクセスを検証するための ID 証明が格納されています。 顔チェックの顔認識を使用すると、資格情報が格納された写真を使用して身元を検証できます。
• Azure Active Directory Identity Governance を使用すると、検証可能な資格情報を使用してアクセス パッケージを作成し、許可することができます。 ユーザーは、デジタル ID 検証を備えたセルフサービス ポータルを使用してアクセス パッケージを要求します。 Microsoft Entra アカウントは、シングル サインオンと多要素認証 (MFA) を使用して、パッケージ アプリとリソースへのアクセスを制御します。
• Microsoft Entra ID 保護と条件付きアクセス (CA) を使用して、アカウントを監視し、危険なサインインやユーザーの動作から保護することができます。 アクセス制御は、場所、デバイス、リスク レベルを考慮して適用されます。

アプリごとに MFA を使用してオンプレミス アプリへのリモート アクセスを最新化する

「アプリごとに MFA を使用してオンプレミス アプリへのリモート アクセスを最新化する」シナリオでは、以下の目標について説明します。

• 既存の VPN を、セキュア アクセス サービス エッジ (SASE) への移行に役立つスケーラブルなクラウドベースのソリューションにアップグレードします。
• ビジネス アプリケーションのアクセスが企業ネットワーク接続に依存する問題を解決します。

この段階的なソリューションは、Microsoft Entra Private Access、Microsoft Entra ID 保護、Azure Active Directory Identity Governance に焦点を当てています。

• Microsoft Entra Private Access は、企業の非公開リソースに対してセキュリティで保護されたアクセスを提供します。 Microsoft Entra アプリケーション プロキシに基づいて構築され、あらゆるプライベート リソースへのアクセスを (TCP/IP ポートやプロトコルとは関係なく) 実現します。 リモート ユーザーは、VPN を使用せずに、任意のデバイスやネットワークからプライベート アプリに接続します。 条件付きアクセス (CA) ポリシーに基づくアプリごとのアダプティブ アクセスでは、ID、エンドポイント、リスク シグナルに基づいてきめ細かいセキュリティを実現できます。
• Microsoft Entra ID 保護のクラウドベースの ID およびアクセス管理 (IAM) では、ユーザー ID と資格情報をセキュリティ侵害から保護できます。
• Azure Active Directory Identity Governance は最小限の特権を適用します。 アクセス パッケージには、アプリごとのネットワーク アクセスと、それを必要とするアプリケーションが含まれており、入社、異動、退職のライフサイクル全体にわたり、職務内容に応じて従業員に企業ネットワーク アクセス権を付与します。

ビジネス ニーズに基づいてインターネット アクセスをセキュリティで保護する

「ビジネス ニーズに基づいてインターネット アクセスをセキュリティで保護する」シナリオでは、以下の目標について説明します。

• 既存の厳格な既定のインターネット アクセス ポリシーを強化し、インターネット アクセス制御で強化します。
• [マイ アクセス] で禁止されているサイトへのアクセスをユーザーが要求できるようにします。 承認プロセスでは、アクセス権を付与するグループにユーザーを追加します。 たとえば、マーケティング部署にはソーシャル ネットワーク サイトへのアクセス、インシデントを調査中のセキュリティ部署にはリスクの高いインターネット接続先へのアクセスなどです。

この段階的なソリューションは、Microsoft Entra Internet Access、Azure Active Directory Identity Governance、条件付きアクセス、グローバル セキュア アクセスに焦点を当てています。

• すべてのユーザーの特定の Web カテゴリと Web 宛先をブロックする制限付きベースライン ポリシーを使用して、セキュリティ プロファイルと Web コンテンツ フィルタリング ポリシーを作成します。
• ソーシャル ネットワーク サイトやリスクの高いインターネット接続先用にセキュリティ プロファイルと Web コンテンツ フィルタリング ポリシーを作成します。
• Azure Active Directory Identity Governance を使用して、ユーザーがアクセス パッケージへのアクセスを要求することを許可します。
• 条件付きアクセス ポリシーを作成し、グローバル セキュア アクセス セキュリティ プロファイル セッション制御とリンクします。