Azure Active Directory の条件付きアクセスConditional access in Azure Active Directory

セキュリティは、クラウドを使用する組織の最大の懸念事項です。Security is a top concern for organizations using the cloud. クラウド セキュリティの重要な側面は、クラウド リソースを管理する際の ID とアクセスです。A key aspect of cloud security is identity and access when it comes to managing your cloud resources. モバイルを重視したクラウド中心の世界では、ユーザーはさまざまなデバイスやアプリを使用してどこからでも組織のリソースにアクセスできます。In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. このため、だれがリソースにアクセスできるかに重点を置くだけでは十分ではなくなっています。As a result of this, just focusing on who can access a resource is not sufficient anymore. セキュリティと生産性のバランスを習得するために、IT プロフェッショナルは、リソースへのアクセス方法も考慮してアクセスの制御を決定する必要があります。In order to master the balance between security and productivity, IT professionals also need to factor how a resource is being accessed into an access control decision. Azure AD の条件付きアクセスで、この要件に対処することができます。With Azure AD conditional access, you can address this requirement. 条件付きアクセスは、一元的な場所から特定の条件に基づいて環境内のアプリへのアクセスに対してコントロールを適用できるようにする Azure Active Directory の機能です。Conditional access is a capability of Azure Active Directory that enables you to enforce controls on the access to apps in your environment based on specific conditions from a central location.

コントロール

この記事では、Azure AD の条件付きアクセスの概念的な概要について説明します。This article provides you with a conceptual overview of conditional access in Azure AD.

一般的なシナリオCommon scenarios

モバイル ファースト、クラウド ファーストの世界で、Azure Active Directory を使用してデバイス、アプリ、およびサービスにどこからでもサインオンできます。In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. デバイス (BYOD を含みます) や企業ネットワーク外での作業、サードパーティが提供する SaaS アプリの急増によって、IT プロフェッショナルは、次の 2 つの対立する目標を達成することを迫られています。With the proliferation of devices (including BYOD), work off corporate networks, and third party SaaS apps, IT professionals are faced with two opposing goals:

  • 場所や時間を問わず、常にユーザーの生産性を高められるようにすることEmpower users to be productive wherever and whenever
  • 企業の資産を常に保護することProtect the corporate assets at any time

条件付きアクセス ポリシーを使用すると、必要な条件下で適切なアクセスの制御を適用できます。By using conditional access policies, you can apply the right access controls under the required conditions. Azure AD の条件付きアクセスでは、必要なときにセキュリティを強化し、必要でない場合にはユーザーの自由に任せることができます。Azure AD conditional access provides you with added security when needed and stays out of your user’s way when it isn’t.

条件付きアクセスが役立ついくつかの一般的なアクセスの問題を次に示します。Following are some common access concerns that conditional access can help you with:

  • サインイン リスク: Azure AD Identity Protection は、サインイン リスクを検出します。Sign-in risk: Azure AD Identity Protection detects sign-in risks. 検出されたサインイン リスクが悪意のあるユーザーを示している場合、どのようにアクセスを制限しますか。How do you restrict access if a detected sign-in risk indicates a bad actor? サインインが正当なユーザーによって実行されたこと、または特定のユーザーをアプリへのアクセスからブロックするのに十分な疑いがあることを示す強力な証拠を取得する必要がある場合はどうしますか。What if you would like to get a stronger evidence that a sign-in was performed by the legitimate user or your doubts are strong enough to even block specific users from accessing an app?

  • ネットワークの場所: Azure AD はどこからでもアクセスできます。Network location: Azure AD is accessible from anywhere. IT 部門の管理下にないネットワークの場所からアクセスが試行された場合はどうしますか。What if an access attempt is performed from a network location that is not under the control of your IT department? ユーザー名とパスワードの組み合わせの使用は、企業ネットワークからリソースへのアクセスを試行するための十分な身元証明になることがあります。Using a username and password combination might be good enough as proof of identity for access attempts to your resources from your corporate network. 他の予期しない国または地域から開始されたアクセス試行に対してより強力な身元証明が必要な場合はどうしますか。What if you demand a stronger proof of identity for access attempts that are initiated from other unexpected countries or regions of the world? 特定の場所からのアクセス試行をブロックする必要がある場合はどうしますか。What if you even want to block access attempts from certain locations?

  • デバイス管理: Azure AD では、ユーザーはモバイル デバイスと個人デバイスを含むさまざまなデバイスからクラウド アプリにアクセスできます。Device management: In Azure AD, users can access cloud apps from a broad range of devices including mobile and also personal devices. IT 部門によって管理されているデバイスによってのみアクセスを試行できるようにする必要がある場合はどうしますか。What if you demand that access attempts should only be performed using devices that are managed by your IT department? 環境内のクラウド アプリで特定の種類のデバイスによるアクセスをブロックする必要がある場合はどうしますか。What if you even want to block certain device types from accessing cloud apps in your environment?

  • クライアント アプリケーション: 現在、Web ベースのアプリ、モバイル アプリ、デスクトップ アプリなどのさまざまな種類のアプリを使用して多くのクラウド アプリにアクセスできます。Client application: Today, you can access many cloud apps using different app types such as web-based apps, mobile apps, or desktop apps. 既知の問題の原因となるクライアント アプリの種類を使用してアクセス試行が実行された場合はどうしますか。What if an access attempt is performed using a client app type that causes known issues? 特定の種類のアプリについて IT 部門が管理するデバイスが必要な場合はどうしますか。What if you require a device that is managed by your IT department for certain app types?

これらの質問と関連する回答は、Azure AD の条件付きアクセスの一般的なアクセス シナリオを表します。These questions and the related answers represent common access scenarios for Azure AD conditional access. 条件付きアクセスは、ポリシー ベースのアプローチを使用してアクセス シナリオを処理できるようにする Azure Active Directory の機能です。Conditional access is a capability of Azure Active Directory that enables you to handle access scenarios using a policy-based approach.

条件付きアクセス ポリシーConditional access policies

条件付きアクセス ポリシーは、次のパターンを使用したアクセス シナリオの定義です。A conditional access policy is definition of an access scenario using the following pattern:

コントロール

Then do this (これを実行する) はポリシーの応答を定義します。Then do this defines the response of your policy. 条件付きアクセス ポリシーの目的は、クラウド アプリへのアクセスを許可することではないという点に注意する必要があります。It is important to note that the objective of a conditional access policy is not to grant access to a cloud app. Azure AD では、クラウド アプリへのアクセスの許可はユーザー割り当てのサブジェクトです。In Azure AD, granting access to cloud apps is subject of user assignments. 条件付きアクセス ポリシーでは、承認されたユーザー (クラウド アプリへのアクセスを許可されているユーザー) が特定の条件下でクラウド アプリにアクセスできる方法を制御します。With a conditional access policy, you control how authorized users (users that have been granted access to a cloud app) can access cloud apps under specific conditions. 応答では、多要素認証や管理されたデバイスなどの追加の要件を適用します。In your response, you enforce additional requirements such as multi-factor authentication, a managed device, and others. Azure AD の条件付きアクセスのコンテキストでは、ポリシーで適用される要件をアクセスの制御と呼びます。In the context of Azure AD conditional access, the requirements your policy enforces are called access controls. 最も制限の厳しい形式で、ポリシーはアクセスをブロックできます。In the most restrictive form, your policy can block access. 詳しくは、「Azure Active Directory の条件付きアクセスのコントロール」をご覧ください。For more information, see Access controls in Azure Active Directory conditional access.

When this happens (これが発生した場合は) では、ポリシーをトリガーする理由を定義します。When this happens defines the reason for triggering your policy. この理由は、満たされている条件のグループによって特徴付けられます。This reason is characterized by a group of conditions that have been satisfied. Azure AD の条件付きアクセスでは、2 つの割り当て条件が特別な役割を果たします。In Azure AD conditional access, the two assignment conditions play a special role:

  • ユーザー: アクセスを試行するユーザー (Who (だれが))。Users: The users performing an access attempt (Who).

  • クラウド アプリ: アクセス試行のターゲット (What (何を))。Cloud apps: The targets of an access attempt (What).

この 2 つの条件は、条件付きアクセス ポリシーでは必須です。These two conditions are mandatory in a conditional access policy. 2 つの必須条件に加えて、アクセス試行の実行方法を説明する追加の条件を含めることもできます。In addition to the two mandatory conditions, you can also include additional conditions that describe how the access attempt is performed. 一般的な例として、モバイル デバイスの使用や、企業ネットワーク外の場所があります。Common examples are using mobile devices or locations that are outside your corporate network. 詳しくは、「Conditions in Azure Active Directory conditional access」(Azure Active Directory の条件付きアクセスの条件) をご覧ください。For more information, see Conditions in Azure Active Directory conditional access.

条件とアクセスの制御の組み合わせによって、条件付きアクセス ポリシーを表現します。The combination of conditions with your access controls represents a conditional access policy.

コントロール

Azure AD の条件付きアクセスを使うと、承認されたユーザーがクラウド アプリにどのようにアクセスするかを制御できます。With Azure AD conditional access, you can control how authorized users can access your cloud apps. 条件付きアクセス ポリシーの目的は、クラウド アプリへのアクセス試行に対して、アクセス試行が実行される方法によって主導される追加のアクセスの制御を適用することです。The objective of a conditional access policy is to enforce additional access controls on an access attempt to a cloud app that is driven by how an access attempt is performed.

ポリシー ベースのアプローチを使用してクラウド アプリへのアクセスを保護する利点の 1 つは、技術的な実装について心配することなく、この記事で概説している構造を使用して環境のポリシー要件の下書き作成を開始できることです。One benefit of using a policy-based approach to protect access to your cloud apps is that you can start drafting the policy requirements for your environment using the structure outlined in this article without worrying about the technical implementation.

知っておくべきことWhat you need to know

条件付きアクセスを使用するための一般的な要件General requirements for using conditional access

以下のいずれかから認証が試行された場合には、クラウド アプリの保護に Azure AD の条件付きアクセスを使用できます:You can use Azure AD conditional access to protect cloud apps when an authentication attempt comes from:

  • Web ブラウザーA web browser

  • 先進認証を使用するクライアント アプリA client app that uses modern authentication

  • Exchange ActiveSyncExchange ActiveSync

詳しくは、クライアント アプリに関するページをご覧ください。For more information, see client apps.

一部のクラウド アプリでは、レガシ認証プロトコルもサポートされています。Some cloud apps also support legacy authentication protocols. たとえば、SharePoint Online や Exchange Online がこれに該当します。This applies, for example, to SharePoint Online and Exchange Online. クライアント アプリでクラウド アプリへのアクセスにレガシ認証プロトコルを利用できる場合、そのようなアクセスの試行に対しては Azure AD の条件付きアクセス ポリシーを適用できません。When a client app can use a legacy authentication protocol to access a cloud app, Azure AD cannot enforce a conditional access policy on this access attempt. クライアント アプリがポリシーの適用を回避する事態を防ぐため、該当するクラウド アプリで先進認証のみを有効にできるかどうかを確認する必要があります。To prevent a client app from bypassing the enforcement of policies, you should check whether it is possible to only enable modern authentication on the affected cloud apps.

条件付きアクセスが適用されないクライアント アプリの例を以下に示します:Examples for client apps conditional access does not apply to are:

  • Office 2010 およびそれ以前Office 2010 and earlier

  • 先進認証を有効にしていない場合の Office 2013Office 2013 when modern authentication is not enabled

詳しくは、「SharePoint Online と Exchange Online に Azure Active Directory の条件付きアクセスを設定する」をご覧ください。For more information, see Set up SharePoint Online and Exchange Online for Azure Active Directory conditional access.

条件付きアクセスを使用するためのライセンス要件License requirements for using conditional access

条件付きアクセスを使用するには、Azure AD Premium ライセンスが必要です。Using conditional access requires a Azure AD Premium license. 要件に対する適切なライセンスを確認するには、「Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

次の手順Next steps