5Microsoft DirectAccessができないこと

By admin

5NetMotion Mobility®ができることMicrosoft DirectAccessができないこと

DirectAccessは、管理された(ドメインに参加した)Windowsクライ これはエンタープライズリモートアクセスソリューションとして位置付けられていますが、多くの大規模な組織が必要とする本質的なセキ この記事では、NetMotion MobilityがMicrosoft DirectAccessではできない5つの重要なことを説明します。

1)トラフィックフィルタリング

クライアントがDirectAccess接続を確立すると、すべての内部ネ DirectAccessは、通常、無制限のネットワークアクセスを提供する内部LAN接続をエミュレートすることを意図していたため、これは設計によるものです。 ただし、これはセキュリティの観点から常に望ましいとは限りません。 一般的に、管理者はネットワークリソースの特定のサブセットへのアクセスを制限する必要があります。 DirectAccessには、このタスクを実行するためのネイティブ機能はありません。

DirectAccessクライアントの内部リソースへのアクセスを制限する唯一の方法は、DirectAccessサーバーと内部ネットワークの間にファイアウォールを配置することです。 ここでの課題は、すべてのDirectAccessクライアントアドレスがDirectAccessサーバーで変換されるため、同じポリシーがすべてのDirectAccessクライアントに適用されることです。 さらに、ネットワークトラフィックはフィルタリングされる前に安全な接続を通過する必要があります。

NetMotion Mobility®を使用すると、管理者はクライアントネットワークアクセスにきめ細かい制御を適用できます。 アクセスは、送信元および/または宛先アドレス、送信元および/または宛先ポート、およびプロトコルによって許可または拒否され得る。 また、個々のアプリケーションまたはプロセスに対してトラフィックフィルタリングを定義することもできます。 さらに、アクセス制限は、ネットワークタイプ(例えば、イーサネット、Wi−Fi、セルラー)、ネットワークの場所(SSID、DNSサフィックス名など)に基づいて動的に実施され得る。)、利用できる帯域幅、オンまたはオフ電池および電池のレベル、時間および物理的な位置。 重要なのは、トラフィックフィルターポリシーがクライアントに適用されるため、VPN接続を介してトラフィックを送信する無駄がなく、オンプレミスファイアウォールによってのみドロップされることです。

2)条件付きアクセス

以前は、DirectAccessには、ネットワークアクセス制御(NAC)ソリューションのバージョンであるMicrosoftネットワークアクセス保護(NAP)のサポートが含まれていました。 NAPを使用すると、管理者はクライアントの構成と正常性状態を評価して、アクセス制御の決定を通知できます。 ただし、MicrosoftはWINDOWS Server2012R2でNAPを非推奨にし、Windows Server2016およびWindows10で機能を完全に削除しました。 DirectAccessは、サードパーティのNACプラットフォームとの統合をサポートしていません。

NetMotion Mobilityには統合されたNAC機能が含まれており、管理者はネットワークへのアクセスを許可する前に接続するデバイスが満たす必要がある一連の標準を定 必要に応じて、ネットワークアクセスは、接続を行っているクライアントの状態に基づいて動的に制御できます。 たとえば、Mobility NACは、現在のヘルスチェック要件を満たしていないが、アクセスを許可していることをクライアントに警告するように設定できます。 NACは、クライアントを隔離し、修復サーバーなどの限られたリソースセットへのネットワークアクセスを制限するように構成することもできます。 必要に応じて、クライアントへのアクセスを厳密に拒否することもできます。

nacポリシーの定義には、ウイルス対策およびマルウェア対策ソフトウェア(Microsoftおよびサードパーティ)、ファイアウォールの存在とステータス(Microsoftおよびサードパーティ)、モビリティソフトウェアのバージョン、オペレーティングシステムのバージョンと更新ステータス、特定のプロセスの存在とステータスなど、多数のパラメータがあります。 クライアントファイルシステム上のレジストリキーとファイルを評価して、必要に応じてアクセスの決定を通知することもできます。

3)詳細なポリシー適用

一部のDirectAccess構成設定は、スコープ内でグローバルです。 たとえば、分割または強制トンネリングの設定は、すべてのDirectAccessクライアントに適用されます。 強力なユーザー認証を適用するオプション多要素認証は、すべてのユーザーにも適用されます。 異なるユーザーが異なる構成設定を必要とする場合は、この要件を満たすために個別のDirectAccess展開を実装する必要があります。

NetMotion Mobilityの構成設定は、組織のニーズを満たすために詳細な方法で適用できます。 設定は、ユーザーアカウントまたはグループメンバーシップ(ローカルまたはActive Directory)、デバイスの種類またはデバイスグループなどに基づいて展開できます。 たとえば、一部のユーザーのみが特定のアプリケーションへのアクセスを必要とする場合、ユーザーが特定のActive Directoryグループのメンバーである場合にのみアプリケーシ また、ネットワークアクセスは、Androidデバイスを使用して誰にも制限されたり、モバイルデバイスが携帯電話ネットワークに接続されているときに特定のア ポリシー適用のオプションはほぼ無限であり、ネットワーク管理者とセキュリティ管理者はモバイルデバイスのアクセスと通信をきめ細かく制御で

4)役割ベースの管理

既定では、DirectAccess管理コンソールを開くには、ユーザーがdomain administratorsグループのメンバーである必要があります。 この要件を排除するためのオプションがありますが、ユーザーがすべてのDirectAccessサーバーのローカル管理者であり、Active Directory内のDirectAccess固有のグループポリシーオブジェクト(Gpo) 構成設定を確認または監査したり、接続状態または履歴レポートを表示したりするために、管理コンソールへの制限付きの読み取り専用アクセスを提供

NetMotion Mobility management consoleはRole-Based Access Control(RBAC)をサポートしており、管理者は特定の要件に基づいて異なるアクセスレベルを定義できます。 たとえば、ヘルプデスク管理者には、ユーザーやデバイスグループのメンバーシップを変更するためのアクセス権を付与できますが、サーバー設定を変更する 役割は、ローカルまたはActive Directoryドメインのユーザー、またはドメイングループに割り当てることができます。

5)クラウド展開

驚くべきことに、DirectAccessはMicrosoft独自のAzureクラウドソリューションを含むパブリッククラウドでサポートされているワークロードではありません。 多くの組織がアプリケーション、サービス、インフラストラクチャをクラウドに移行しているため、クラウドで完全にサポートされているモビリティソリューションを提供することは非常に重要です。

NetMotion Mobilityは、Windows serverにインストールされているソフトウェアベースのソリューションです。 オンプレミスまたはMicrosoft Azure、Amazon Web Services(AWS)Google Cloud Platform(GCP)などのパブリッククラウドにインストールすると、完全にサポートされます。 NetMotion Mobility gatewayおよびinfrastructureサーバーは、オンプレミス、クラウド、またはハイブリッド展開の場合はその両方にインストールおよび構成できます。

概要

DirectAccessは、Microsoftを中心とした組織に適したリモートアクセスソリューションですが、安全で堅牢なエンタープライズモビリティプラットフォームに必要な重要な機能がいくつか欠けています。 NetMotion Mobilityは、管理者にネットワークアクセスを制限し、高度に詳細な方法で制限するツールを提供するため、DirectAccessよりも明確な利点があります。 リモートデバイスの設定ステータスは、接続前に決定することができ、必要に応じて動的ポリシーの強制または制限されたアクセスを可能にします。 また、管理コンソールアクセス用のRBACもサポートされており、オンプレミス、クラウド、ハイブリッド展開の両方のシナリオで完全にサポートされています。

ゲスト著者:リチャード*ヒックス|創設者&プリンシパルコンサルタント、リチャード*M。 Hicks Consulting

ゲスト著者の意見や意見は、必ずしもNetMotionソフトウェアの意見や意見を反映しているわけではありません。

続きを読む

  • 佐瀬、なぜそれが必要なのですか?
  • プロフェッショナルサービスの労働力が100%モバイルになった場合はどうなりますか?
  • SASEの計画:そこに着く方法のためのステップバイステップガイド
  • NetMotionの声: 国際女性デーを祝う
  • NetMotionとMicrosoftのパートナーシップで秒単位で佐瀬に行く
ツイッターメールシェア

FacebookTwitter電子メールシェア

«
»

Related posts

Leave a Comment

メールアドレスが公開されることはありません。

+