SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Palo Alto】Entra ID条件付きアクセスによるPrisma Browser利用強制

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. 【Palo Alto】Entra ID条件付きアクセスによるPrisma Browser利用強制
セキュリティ
2026.01.05


本記事はPalo Alto Networks社のPrisma Browserの利用を強制するための設定方法をご紹介します。

Prisma Browserの強制利用 (IP-Based Enforcement)

IP Based Enforcementにより、SSO対応アプリケーションへのアクセスはPrisma Browserからのみ可能になります。IdPへの認証トラフィックは、既知の出力IPアドレスを持つPrisma Browser Gatewayを経由して送信されます。

IdP認証トラフィックをPrisma Browser Gateway経由でルーティングするようにPrisma Browserを設定する必要があります。また、IdPで条件付きアクセスルールを作成し、認証にPrisma Browser Gatewayのみを使用するように設定する必要があります。これにより、Prisma Browser以外のブラウザ経由で認証を試みても失敗します。

今回は、IdPとしてEntraIDを利用する手順をご紹介します。

 

出力IPアドレスの確認

  1. Configuration > Onboarding > Onboard Usersに移動し、Prisma Browser を見つけて「ビュー」をクリックします。
    001.png

  2. Prisma Browser のセットアップページで、STEP 4 - Enforce SSO Applicationsをクリックします。

  3. Configure your SSO enforcement > IP Addresses > Shared IP addresses に表示されている出力IPアドレスをコピーしてメモ帳などに控えておきます
    002.png

  4. Documentationをクリックすると、IdPで条件付きアクセスを設定するため手順が表示されます。
    003.png

 

Entra ID条件付きアクセス設定

Prisma Browserで提供された出力IPアドレスを使用して、IdP側で条件付きアクセスを設定します。

①Prisma Browser認証プロキシのIPアドレスを構成

  1. Microsoft Entra管理センターから、ネームドロケーションを作成します。
    条件付きアクセス > ネームドロケーションに移動し、+IP範囲の場所をクリックします。
    004.png

  2. IP範囲の名前を入力します。ここでは Prisma Access Authentication Proxy に設定します。
    信頼できる場所としてマークするにチェックを入れます。
    005.png

  3. 出力IPアドレスをテキストファイルに貼り付けて保存し、ファイルをアップロードします。
    作成をクリックします。
    006.png

  4. ネームドロケーションが追加されていることを確認します。
    007.png

 

②認証ポリシーの設定

  1. 条件付きアクセス > ポリシーに移動し、新しいポリシーをクリックします。
    008.png

  2. 名前で条件付きアクセスポリシーの名前を入力します。(例: Allow access only from Prisma Browser)
    009.png

  3. ターゲットリソースとして1つ以上のアプリケーションを選択します。
    010.png

  4. 条件 > 場所 > 構成 [はい] > 対象外 [選択したネットワークと場所] > 作成した場所を選択します。
    011.png

  5. アクセス制御 [アクセスのブロック] を選択してポリシーの有効化 [オン] を選択して作成をクリックします。
    012.png

 

Prisma BrowserコンソールにてIdP適用を有効化

  1. Strata Cloud Manager で、Configuration > Onboardingに移動します。
  2. Onboard Usersで、 Prisma Browserを見つけて「ビュー」をクリックします。
  3. Prisma Browser のセットアップページで、STEP 4 - Enforce SSO Applicationsをクリックします。

  4. 条件付きアクセスを適用するIdPでMicrosoft Azure Active Directoryを選択します。
    Save changesをクリックして設定を保存します。
    013.png


設定後、ユーザーはPrisma Browser経由でのみSSOアプリケーションにアクセスできるようになります。

 

動作確認

まずは、Prisma Browserでアプリケーションにアクセスしてみます。
Entra IDで認証を行いアプリケーションにアクセスすることができました。

015.png

 

次に、Chromeでアプリケーションにアクセスしてみます。
Entra IDで認証を行うと「現時点ではこれにはアクセスできません」というメッセージが表示されてアクセスが拒否されました。

014.png

 

まとめ

Entra IDの条件付きアクセスを利用してPrisma Browserの利用を強制する方法についてご紹介しました。
本設定を適用することで、EntraIDで認証を実施するアプリケーションに対してPrisma Browser以外のブラウザからアクセスさせない制御が可能です。これにより、社内で利用しているSaaSなどのアプリをより安全に利用することができるようになります。

 

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
 今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

「Palo Alto Networksコンシェルジュ」
製品パンフレットのDLからお見積り依頼まで受け付けております

Paloバナーブログ用.jpg

他のおすすめ記事はこちら

【Palo Alto】Prisma Access Browserのご紹介

著者紹介

SB C&S株式会社
技術統括部 第4技術部 2課
PCNSE, PSE Strata/SASE/Cortex Professional
中村 愛佳 -Manaka Nakamura-

Related Posts

関連記事