Microsoft Entra 条件付きアクセスのサービス依存関係の概要
条件付きアクセス ポリシーを使用すると、Web サイトやサービスに対するアクセス要件を指定できます。 たとえば、アクセス要件に、Multi-Factor Authentication (MFA) またはマネージド デバイスの要件を含めることができます。
サイトまたはサービスに直接アクセスすると、通常、関連するポリシーの影響を簡単に確認できます。 たとえば、SharePoint Online に Multi-Factor Authentication (MFA) を必要とするポリシーを構成すると、SharePoint Web ポータルにサインインするたびに MFA が適用されます。 ただし、他のクラウド アプリとの依存関係があるクラウド アプリがあるため、ポリシーの影響が常に簡単に確認できるとは限りません。 たとえば、Microsoft Teams では SharePoint Online のリソースへのアクセスを提供できます。 そのため、現在のシナリオで Microsoft Teams にアクセスすると、SharePoint MFA ポリシーの対象にもなります。
ヒント
Office 365 アプリの使用は、Office スタック内のサービスの依存関係に関する問題を回避するために、すべての Office アプリが対象となります。
ポリシーの適用
サービス依存関係を構成している場合は、事前バインディングまたは遅延バインディングを使用してポリシーを適用できます。
- 事前バインディング ポリシー適用では、ユーザーが呼び出し元のアプリにアクセスする前に依存サービス ポリシーを満たす必要があります。 たとえば、ユーザーが Microsoft Teams にサインインする前に SharePoint ポリシーを満たす必要があります。
- 遅延バインディング ポリシー適用は、ユーザーが呼び出し元アプリにサインインした後で行われます。 呼び出し元アプリがダウンストリーム サービスのトークンを要求するまで、適用が延期されます。 例としては、Planner にアクセスする Microsoft Teams や SharePoint にアクセスする Office.com があります。
次の図は、Microsoft Teams サービス依存を示しています。 実線矢印は事前バインディング適用を示し、Planner を指す破線矢印は遅延バインディング適用を示します。
ベスト プラクティスとして、可能な場合には常に、関連するアプリおよびサービスに対して共通のポリシーを設定することをお勧めします。 一貫性のあるセキュリティ体制によって、最適なユーザー エクスペリエンスが実現します。 たとえば、業務のための Exchange Online、SharePoint Online、Microsoft Teams、Skype for Business に対して共通のポリシーを設定すると、ダウンストリーム サービスに適用されるさまざまなポリシーからのプロンプトが予期せずに生成される回数が大幅に減少する場合があります。
Office スタックでアプリケーションを使用して共通のポリシーを実現する優れた方法は、個々のアプリケーションを対象にするのではなく、Office 365 アプリを使用することです。
次の表には、クライアント アプリが満たす必要があるサービス依存関係をほかにもいくつか示しています。 この一覧はすべてを網羅したものではありません。
| クライアント アプリ | ダウン ストリーム サービス | 適用 |
|---|---|---|
| Azure Data Lake | Windows Azure Service Management API(ポータルと API) | 事前バインディング |
| Microsoft Classroom | Exchange | 事前バインディング |
| SharePoint | 事前バインディング | |
| Microsoft Teams | Exchange | 事前バインディング |
| MS Planner | 遅延バインディング | |
| Microsoft Stream | 遅延バインディング | |
| SharePoint | 事前バインディング | |
| Skype for Business Online | 事前バインディング | |
| Microsoft Whiteboard | 遅延バインディング | |
| Office ポータル | Exchange | 遅延バインディング |
| SharePoint | 遅延バインディング | |
| Outlook Groups | Exchange | 事前バインディング |
| SharePoint | 事前バインディング | |
| Power Apps | Windows Azure Service Management API(ポータルと API) | 事前バインディング |
| Windows Azure Active Directory | 事前バインディング | |
| SharePoint | 事前バインディング | |
| Exchange | 事前バインディング | |
| Power Automate | Power Apps | 事前バインディング |
| Project | Dynamics CRM | 事前バインディング |
| Skype for Business | Exchange | 事前バインディング |
| Visual Studio | Windows Azure Service Management API(ポータルと API) | 事前バインディング |
| Microsoft フォーム | Exchange | 事前バインディング |
| SharePoint | 事前バインディング | |
| Microsoft To-Do | Exchange | 事前バインディング |
| SharePoint | SharePoint Online Web クライアントの拡張機能 | 事前バインド |
| 分離された SharePoint Online Web クライアントの拡張機能 | 事前バインド | |
| SharePoint クライアント拡張 Web アプリケーション プリンシパル (存在する場合) | 事前バインディング |
サービスの依存関係のトラブルシューティング
Microsoft Entra のサインイン ログは、環境内で条件付きアクセス ポリシーが適用された理由とその方法のトラブルシューティングを行う際の貴重な情報源です。 条件付きアクセスに関連する予期しないサインイン結果のトラブルシューティングの詳細については、「条件付きアクセスでのサインインに関する問題のトラブルシューティング」の記事を参照してください。
次のステップ
お使いの環境に条件付きアクセスを実装する方法については、「Microsoft Entra ID の条件付きアクセスの展開を計画する」をご覧ください。