Entra ID を使用してブラウザ使用の強制を設定する

Entra ID を使用して、保護されているブラウザを通じてのみ SaaS アプリケーションへのアクセスを強制できます。

Entra ID は、login.microsoftonline.com へのすべてのアプリケーションアクセス要求を認証し、選択した ZTNA 地域を通じてトラフィックをルーティングします。

主なステップは次のとおりです。

1. 要件を満たしていることを確認します。
2. 保護されているブラウザで Entra ID をオンにします。
3. Entra ID で名前付きの場所を作成します。
4. Entra ID で条件付きアクセスポリシーを作成します。

ビデオ

次の動画では、Entra ID を使用して保護されているブラウザから SaaS アプリケーションへのアクセスを強制する方法について説明します。

要件

• Sophos Central に Entra ID をフェデレーション IdP として追加している必要があります。
• Entra ID へのアクセスを強制する必要のあるアプリケーションを追加している必要があります。
• ユーザーを認証するために Entra ID で SAML を設定している必要があります。
• Entra ID でブラウザ使用の強制を実行するユーザーは管理者である必要があります。

保護されているブラウザで Entra ID をオンにする

Entra ID をオンにするには、次の手順を実行します。

1. グローバル設定アイコン をクリックします
2. 「製品とサービス」に移動し、「保護されているブラウザ」をクリックします。
3. 「ブラウザ使用の強制」をクリックします。
4. 「Entra ID」をオンにします。
5. 「データプレーン領域」の下で、認証に使用する ZTNA データプレーン領域を選択します。

6. 「IP リストのコピー」をクリックして、ZTNA データプレーン領域の IP アドレスをコピーします。

   名前付き場所を Entra ID で作成するには、これらの IP アドレスが必要です。

Entra ID で名前付き場所を作成する

名前付き場所を作成するには、次のようにします：

1. Entra ID で、「エンタープライズ アプリケーション > 条件付きアクセス」に移動します。
2. 「名前付きの場所」を選択し、「IP 範囲の場所」をクリックします。
3. 場所の名前を入力します。
4. 「+」アイコン をクリックし、保護されてるブラウザからコピーした ZTNA データプレーン地域の IP アドレスを貼り付けます。
5. 「作成」をクリックします。

条件付きポリシーを作成する

条件付きポリシーを作成するには、次の手順を実行します。

1. Entra ID で、「エンタープライズ アプリケーション > 条件付きアクセス」に移動します。
2. 「ポリシー」を選択し、「新しいポリシー」をクリックします。
3. ポリシーの名前を入力します。
4. 「ユーザー > 含める > ユーザーとグループを選択」に移動し、「ユーザーとグループ」をクリックして、アプリケーションへのアクセスを許可するユーザーまたはグループを選択します。
5. 「対象リソース > 含める」に移動し、「リソースを選択」をクリックして、保護されているブラウザを通じてアクセスを強制するアプリケーションを選択します。

6. 「ネットワーク」に移動し、「構成」の下で、「はい」をクリックします。

   次の設定を行います。

   1. 「含める」の下で、「すべてのネットワークまたは場所」を選択します。
   2. 「除外」の下で、「選択したネットワークと場所」を選択し、作成した名前付きの場所を選択します。

7. 他のすべての IP アドレスをブロックするには、「付与」に移動し、「アクセスをブロック」を選択して、「選択」をクリックします。

8. 「ポリシーを有効にする」の下で、「オン」をクリックします。
9. 「作成」をクリックします。