インターネット アクセス トラフィック転送プロファイルを管理する方法

インターネット アクセス トラフィック転送プロファイルは、グローバル セキュア アクセス クライアントを経由してインターネット トラフィックをルーティングします。 このトラフィック転送プロファイルを有効にすると、リモート ワーカーは、制御された安全な方法でインターネットに接続できます。 Microsoft Entra Internet Access の機能を使用すると、アクセスできるインターネット サイトを制御できます。 また、IP アドレス、IP アドレス範囲、IP サブネット、完全修飾ドメイン名 (FQDN) に基づいてグローバル セキュア アクセスから除外するトラフィックを構成することもできます。

前提条件

テナントのインターネット アクセス転送プロファイルを有効にするには、次のものが必要です。

• Microsoft Entra ID の Global Secure Access 管理者ロールがあること。
• この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

インターネット アクセス トラフィック転送プロファイル ポリシー

インターネット アクセス トラフィック転送プロファイルに関連するポリシーを表示します。 既定では、3 つのポリシーがあります。 表示するには、次の手順に従います。

1. Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
2. [グローバル セキュア アクセス]>[接続]>[トラフィック転送] に移動します。
3. [インターネット アクセス ポリシー] セクションで [表示] リンクを選択します。

既定のインターネット アクセス ポリシーは、次のとおりです。

• カスタム バイパス インターネット トラフィック プロファイルから "除外される" ユーザー定義のトラフィックおよびエンドポイントが含まれます。 つまり、プロファイルで取得してはならないトラフィックを定義します。 通常は、VPN エンドポイント、プライベート IP 範囲、スクワット IP 範囲や、ネットワーク アクセス制御リスト (ACL) を利用するエンドポイントなどのトラフィックを除外します。
• 既定のバイパス インターネット トラフィック プロファイルによって取得されない定義済みのトラフィックが含まれます。 たとえば、プライベート IP 範囲などです。 このポリシーのルールを変更することはできません。
• 既定の取得 インターネット トラフィック プロファイルによって取得されるトラフィックを定義します。 現在、これは、伝送制御プロトコル (TCP) を経由するポート 80、443 上のすべてのインターネット トラフィックです。 このポリシーは優先順位が最も低く、すべてのバイパス ルールが評価された後になります。 このポリシーのルールを変更することはできません。

カスタム バイパス ポリシーを追加する例:

1. Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
2. [グローバル セキュア アクセス]>[接続]>[トラフィック転送] に移動します。
3. インターネット アクセス トラフィック転送プロファイル領域の [インターネット アクセス ポリシー] セクションで、[表示] リンクを選択します
4. [カスタム バイパス] ポリシーを展開します。
5. [規則の追加] を選択します。
6. 完全修飾ドメイン名 (FQDN) など、宛先の種類を選択します。 複数の宛先の値をコンマで区切って追加できます。 空白を追加しないでください。 たとえば、contoso.com,fabrikam.com または 10.0.0.1/32,10.0.0.2/32 です。 ポート、プロトコル、アクションは常に固定されており、変更することはできません。
7. 有効な宛先を入力します。
8. [保存] を選択します。

ユーザーおよびグループの割り当て

インターネット アクセス プロファイルのスコープを、特定のユーザーとグループに設定できます。

ユーザーとグループの割り当ての詳細については、「トラフィック転送プロファイルを使用してユーザーおよびグループを割り当てて管理する方法」を参照してください。

インターネット アクセス トラフィック転送プロファイルを有効にする

Microsoft Entra Internet Access 転送プロファイルを有効にしてユーザー トラフィックを転送するには:

1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
2. [グローバル セキュア アクセス]>[接続]>[トラフィック転送] に移動します。
3. トラフィック プロファイルにポリシーを設定します。 たとえば、特定のトラフィックを除外するカスタム バイパス ルールを設定します。
4. [インターネット アクセス プロファイル] を有効にします。 すべてのクライアント デバイスから Microsoft の Security Service Edge (SSE) プロキシへのインターネット トラフィックの転送が開始され、そこで詳細なセキュリティ ポリシーを構成できます。

   Note

   インターネット アクセス転送プロファイルを有効にする場合は、Microsoft トラフィックの最適なルーティングのために Microsoft トラフィック転送プロファイルも有効にする必要があります。 Microsoft トラフィック プロファイルを有効にするには、インターネット アクセス トラフィック転送プロファイルを有効にするページと同じページでプロファイルのチェックボックスをオンにします。 Microsoft トラフィック転送プロファイルの詳細については、Microsoft プロファイルを有効にして管理する方法に関する記事を参照してください。

インターネット アクセス トラフィック転送プロファイルを検証する

ポリシーに追加されたルールがユーザーのコンピューター上のクライアントに表示されるまでに 10 から 20 分かかります。 この時間が経過してもルールが表示されない場合は、インターネット アクセス トラフィック転送プロファイルを無効にし、もう一度有効にします。

トラフィック転送プロファイル、トラフィック転送ポリシー、ルールを検証するには、次の手順を行います。

1. システム トレイで、グローバル セキュア アクセス クライアントを右クリックし、[高度な診断] を選択します。
2. Web ブラウザーを開き、内部ネットワーク上の宛先に移動します。 トラフィックがキャプチャされていないことを確認します。
3. Web ブラウザーを開き、バイパスされる宛先に移動します。 トラフィックがキャプチャされていないことを確認します。
4. Web ブラウザーを開き、プロファイルによって取得されるパブリック宛先に移動します。 トラフィックがインターネット チャネルで取得されていることを確認します。

次のステップ

• トラフィック転送の概要
• グローバル セキュア アクセス Web コンテンツ フィルタリングを構成する
• エンドユーザー デバイスにグローバル セキュア アクセス クライアントをインストールして構成する