はじめに

本記事では、Prisma Access環境において、IdPとしてMicrosoft Entra ID (旧 Azure AD) を利用したSAML認証の実装手順を解説します。 また、セキュリティ要件として「GlobalProtect接続前のインターネットアクセス禁止（Always-On + Enforce）」および「特定の認証用FQDNのみローカルブレークアウト」を行う構成についても触れます。

構成概要

Prisma AccessとEntra IDを連携させ、以下の要件を満たすセキュアなリモートアクセス環境を構築します。

実装要件

1. 認証方式: Microsoft Entra ID を使用したSAML認証。

2. 接続方式: GlobalProtect Always-On (常時接続)。

3. セキュリティ強制: GlobalProtect接続確立前は、インターネットへの直接アクセスを禁止する。

4. ユーザー制限: ユーザーによるGlobalProtectの切断（無効化）を許可しない。

5. 例外通信: Entra ID認証に必要なFQDN（login.microsoftonline.com 等）のみ、トンネル確立前でも通信を許可する（ローカルブレークアウト）。

6. 通信経路: 上記例外を除くすべての通信は、Prisma Access経由のフルトンネルとする。

構成

1. Microsoft Entra ID (Azure AD) 側の設定

前提条件として、Microsoft Entra IDアプリケーションの設定が完了していることを前提とします。

1. Microsoft Azure Portal にログインし、[エンタープライズ アプリケーション] に移動します。

2. 「新しいアプリケーション」をクリックし、ギャラリー検索で 「Palo Alto Networks - GlobalProtect」 を検索・選択します。

3. 作成したアプリケーションの管理メニューから [シングル サインオン] > [SAML] を選択します。

4. 「SAML 証明書」 セクションにある 「フェデレーション メタデータ XML」 をダウンロードし、ローカルに保存します（後ほどPrisma Access側で使用します）。

5. [ユーザーとグループ] > [ユーザーまたはグループの追加] をクリックし、GlobalProtectを利用させたいユーザーまたはグループを割り当てます。
   

2. Prisma Access (Strata Cloud Manager) 側の設定

次に、Prisma Accessの管理コンソール（SCM: Strata Cloud Manager）でSAMLの設定を行います。

2.1 SAML IDプロファイルの作成

1. SCMにログインし、以下のパスへ移動します。

   • Configuration > GlobalProtect > ID Services > Authentication > Server Profiles > [SAML]

2. 画面右上の [Import Metadata] (メタデータのインポート) をクリックします。

3. 先ほどAzureポータルからダウンロードした「フェデレーション メタデータ XML」を選択してインポートします。

4. プロファイルがリストの最下部に作成されるため、クリックして任意のわかりやすい名前（例: EntraID-SAML）に変更・保存します。

2.2 認証プロファイルの作成

1. 以下のパスへ移動します。

   • Configuration > GlobalProtect > ID Services > Authentication > [Authentication Profiles]

2. [Add Profile] をクリックして新規作成します。

3. 「Server Profile」項目で、先ほど作成したSAMLサーバープロファイル（EntraID-SAML）を選択し、保存します。

3. GlobalProtect アプリケーション設定 (Always-On & 強制化)

本構成の肝となる、接続強制と例外許可の設定を行います。

1. 以下のパスへ移動します。

   • Configuration > GlobalProtect > Setup > [GlobalProtectアプリケーション]

2. 追加アプリケーション設定をクリックします。

3.1 アプリケーション設定 (App Selection)

• Connect Method: Everytime the user logs on to the machine (Always On) を選択。

• Allow User to Disable GlobalProtect: Disallow を選択（ユーザーによる切断不可）。

3.2 強制化設定 (App Selection > Advanced Options)

SAML認証を通すためには、GP接続前でもEntra IDへのアクセスが必要です。そのため、接続をブロックしつつ特定のFQDNだけ許可する設定を入れます。

1. [Show Advanced Options] を展開し、[Enforcement] タブを開きます。

2. [Enforce GlobalProtect Connection for Network Access] にチェックを入れます（GP未接続時の通信ブロック）。

3. [Allow traffic to specified fqdn when Enforce GlobalProtect Connection for Network Access is enabled...] に以下のFQDNを登録します。

   • login.microsoftonline.com (Entra ID認証用)

4. 設定を保存します。

5. 作成した設定が適用されるよう、リストの最上位（または適切な優先順位）に移動します。

4. ポータル設定と構成のプッシュ

最後に、ポータル側の認証設定と全体の反映を行います。

1. 認証用トンネルの設定: 認証用トンネルの設定を確認し、優先順位を最上位へ移動します。

2. ユーザー認証設定:

   • Configuration > GlobalProtect > Setup > Infrastructure > [Authentication]

   • [Add] をクリックし、作成した「認証プロファイル」を割り当てて保存します。

3. 設定完了後、優先順位を最上位へ移動し、画面右上の [Push Config] (または Commit) を実行し、クラウドへ設定を反映させます。

5. 動作確認

設定反映後、クライアント端末にて以下の挙動を確認します。

シナリオ①：接続と認証フロー

1. 端末のGlobalProtectアプリを開き、ポータルのFQDNを入力し、[接続] をクリックします。

2. Microsoft Entra IDのログイン画面がポップアップすることを確認します。

3. アカウント情報を入力し、正常に認証されることを確認します。

4. GlobalProtectの状態が「接続済み」となり、ゲートウェイ情報が取得できていることを確認します。

5. ユーザー側で「無効化（切断）」ボタンがグレーアウト、または操作できないことを確認します。

シナリオ②：強制化と例外通信の確認

1. 端末を再起動します。

2. OSログイン後、GlobalProtectが自動的に立ち上がり、ログイン画面が表示されます。

3. GlobalProtect接続前の状態で:

   • 一般的なインターネットサイト（例: Google等）へのアクセスが不可であることを確認します。

   • 設定で許可したFQDN（ login.microsoftonline.com ）へのアクセスのみ可能であることを確認します（ローカルブレークアウトの確認）。

シナリオ③：ログ確認

Prisma Accessのログビューア（Explore等）にて、対象ユーザーのSAML認証成功ログが記録されていることを確認します。

以上で、Entra IDを利用したPrisma Access SAML認証およびAlways-On環境の構築は完了です。