クイック スタート:Azure Active Directory の条件付きアクセスを使用して特定のアプリケーションに対して MFA を必要にするQuickstart: Require MFA for specific apps with Azure Active Directory Conditional Access

ユーザーのサインイン エクスペリエンスを簡易化するために、ユーザー名とパスワードを使用してクラウド アプリにサインインできるようにすることができます。To simplify the sign in experience of your users, you might want to allow them to sign in to your cloud apps using a user name and a password. ただし、多くの環境には、多要素認証 (MFA) など、より強力な形式のアカウント確認を必要にすることが勧められるアプリが少なくともいくつかあります。However, many environments have at least a few apps for which it is advisable to require a stronger form of account verification, such as multi-factor authentication (MFA). これには、組織のメール システムや HR アプリにアクセスする場合などがあります。This policy might be true for access to your organization's email system or your HR apps. Azure Active Directory (Azure AD) では、条件付きアクセス ポリシーを使用してこの目標を達成できます。In Azure Active Directory (Azure AD), you can accomplish this goal with a Conditional Access policy.

このクイック スタートでは、環境内で選択したクラウド アプリに対して多要素認証を必要とする Azure AD の条件付きアクセス ポリシーを構成する方法について説明します。This quickstart shows how to configure an Azure AD Conditional Access policy that requires multi-factor authentication for a selected cloud app in your environment.

Azure portal での条件付きアクセス ポリシーの例

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

前提条件Prerequisites

このクイック スタートのシナリオを完了するための要件を次に示します。To complete the scenario in this quickstart, you need:

  • Azure AD Premium エディションへのアクセス - Azure AD の条件付きアクセスは Azure AD Premium の機能です。Access to an Azure AD Premium edition - Azure AD Conditional Access is an Azure AD Premium capability.
  • Isabella Simonsen というテスト アカウント - テスト アカウントの作成方法がわからない場合は、「クラウド ベースのユーザーを追加する」を参照してください。A test account called Isabella Simonsen - If you don't know how to create a test account, see Add cloud-based users.

このクイック スタートのシナリオでは、テスト アカウントに対して、ユーザーごとの MFA が有効にされていない必要があります。The scenario in this quickstart requires that per user MFA is not enabled for your test account. 詳細については、「ユーザーに 2 段階認証を要求する方法」を参照してください。For more information, see How to require two-step verification for a user.

エクスペリエンスをテストするTest your experience

この手順の目的は、条件付きアクセス ポリシーがないエクスペリエンスの印象を確認することです。The goal of this step is to get an impression of the experience without a Conditional Access policy.

環境を初期化するには:To initialize your environment:

  1. Isabella Simonsen として Azure portal にサインインします。Sign in to your Azure portal as Isabella Simonsen.
  2. サインアウトします。Sign out.

条件付きアクセス ポリシーを作成するCreate your Conditional Access policy

このセクションでは、必要な条件付きアクセス ポリシーを作成する方法について説明します。This section shows how to create the required Conditional Access policy. このクイック スタートのシナリオでは、以下を使用します。The scenario in this quickstart uses:

  • MFA を必要とするクラウド アプリのプレースホルダーとしての Azure PortalThe Azure portal as placeholder for a cloud app that requires MFA.
  • 条件付きアクセス ポリシーをテストするサンプル ユーザーYour sample user to test the Conditional Access policy.

ポリシーに以下の内容を設定します。In your policy, set:

SettingSetting Value
ユーザーとグループUsers and groups Isabella SimonsenIsabella Simonsen
クラウド アプリCloud apps Microsoft Azure の管理Microsoft Azure Management
アクセス権の付与Grant access 多要素認証が必要ですRequire multi-factor authentication

展開された条件付きアクセス ポリシー

条件付きアクセス ポリシーを構成するには:To configure your Conditional Access policy:

  1. Azure portal に全体管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to your Azure portal as global administrator, security administrator, or a Conditional Access administrator.

  2. Azure Portal の左側のナビゲーション バーで、 [Azure Active Directory] をクリックします。In the Azure portal, on the left navbar, click Azure Active Directory.

    Azure Active Directory

  3. [Azure Active Directory] ページの [セキュリティ] セクションで、 [条件付きアクセス] をクリックします。On the Azure Active Directory page, in the Security section, click Conditional Access.

    条件付きアクセス

  4. [条件付きアクセス] ページで、上部のツール バーの [新しいポリシー] をクリックします。On the Conditional Access page, in the toolbar on the top, click New policy.

    Add

  5. [新規] ページの [名前] テキストボックスに、「Azure Portal にアクセスするには MFA が必要です」と入力します。On the New page, in the Name textbox, type Require MFA for Azure portal access.

    Name

  6. [割り当て] セクションで [ユーザーとグループ] をクリックします。In the Assignment section, click Users and groups.

    ユーザーとグループ

  7. [ユーザーとグループ] ページで、次の手順を実行します。On the Users and groups page, perform the following steps:

    ユーザーとグループ

    1. [ユーザーとグループの選択] をクリックし、 [ユーザーとグループ] を選択します。Click Select users and groups, and then select Users and groups.
    2. [選択] をクリックします。Click Select.
    3. [選択] ページで [Isabella Simonsen] を選択し、 [選択] をクリックします。On the Select page, select Isabella Simonsen, and then click Select.
    4. [ユーザーとグループ] ページで、 [完了] をクリックします。On the Users and groups page, click Done.
  8. [クラウド アプリ] をクリックします。Click Cloud apps.

    クラウド アプリ

  9. [クラウド アプリ] ページで、次の手順を実行します。On the Cloud apps page, perform the following steps:

    クラウド アプリを選択

    1. [アプリを選択] をクリックします。Click Select apps.
    2. [選択] をクリックします。Click Select.
    3. [選択] ページで [Microsoft Azure の管理] を選択し、 [選択] をクリックします。On the Select page, select Microsoft Azure Management, and then click Select.
    4. [クラウド アプリ] ページで、 [完了] をクリックします。On the Cloud apps page, click Done.
  10. [アクセス制御] セクションで、 [許可] をクリックします。In the Access controls section, click Grant.

    アクセス制御

  11. [許可] ページで、次の手順を実行します。On the Grant page, perform the following steps:

    許可

    1. [アクセス権の付与] を選択します。Select Grant access.
    2. [多要素認証が必要です] を選択します。Select Require multi-factor authentication.
    3. [選択] をクリックします。Click Select.
  12. [ポリシーを有効にする] セクションで [オン] をクリックします。In the Enable policy section, click On.

    ポリシーを有効にする

  13. Create をクリックしてください。Click Create.

シミュレートされたサインインを評価するEvaluate a simulated sign in

条件付きアクセス ポリシーを構成したら、期待どおりに動作しているかどうかを確認してみましょう。Now that you have configured your Conditional Access policy, you probably want to know whether it works as expected. 最初の手順として、条件付きアクセスの What-If ポリシー ツールを使用して、テスト ユーザーのサインインをシミュレートします。As a first step, use the Conditional Access what if policy tool to simulate a sign in of your test user. シミュレーションでは、このサインインがポリシーに与える影響を推定し、シミュレーション レポートが生成されます。The simulation estimates the impact this sign in has on your policies and generates a simulation report.

What If ポリシー評価ツールを初期化するには、次のように設定します。To initialize the What If policy evaluation tool, set:

  • ユーザーに「Isabella SimonsenIsabella Simonsen as user
  • クラウド アプリに「Microsoft Azure の管理Microsoft Azure Management as cloud app

[What If] をクリックすると、シミュレート レポートが作成され、次のように表示されます。Clicking What If creates a simulation report that shows:

  • [適用するポリシー] の下に "Azure Portal にアクセスするには MFA が必要です"Require MFA for Azure portal access under Policies that will apply
  • [制御の許可] に "多要素認証が必要です"Require multi-factor authentication as Grant Controls.

What If ポリシー ツール

条件付きアクセス ポリシーを評価するには:To evaluate your Conditional Access policy:

  1. [条件付きアクセス - ポリシー] ページで、上部のメニューの [What If] をクリックします。On the Conditional Access - Policies page, in the menu on the top, click What If.

    What If

  2. [ユーザー] をクリックし、 [Isabella Simonsen] を選択し、 [選択] をクリックします。Click Users, select Isabella Simonsen, and then click Select.

    User

  3. クラウド アプリを選択するには、次の手順を実行します。To select a cloud app, perform the following steps:

    クラウド アプリ

    1. [クラウド アプリ] をクリックします。Click Cloud apps.
    2. [クラウド アプリ] ページで、 [アプリの選択] をクリックします。On the Cloud apps page, click Select apps.
    3. [選択] をクリックします。Click Select.
    4. [選択] ページで [Microsoft Azure の管理] を選択し、 [選択] をクリックします。On the Select page, select Microsoft Azure Management, and then click Select.
    5. [クラウド アプリ] ページで、 [完了] をクリックします。On the cloud apps page, click Done.
  4. [What If] をクリックします。Click What If.

条件付きアクセス ポリシーをテストするTest your Conditional Access policy

前のセクションでは、シミュレートされたサインインを評価する方法を学びました。In the previous section, you have learned how to evaluate a simulated sign in. 期待どおりに動作することを確認するには、シミュレーションに加え、条件付きアクセス ポリシーもテストすることをお勧めします。In addition to a simulation, you should also test your Conditional Access policy to ensure that it works as expected.

ポリシーをテストするには、Isabella Simonsen テスト アカウントを使用して Azure portal にサインインしてみます。To test your policy, try to sign in to your Azure portal using your Isabella Simonsen test account. 追加のセキュリティ確認のために、アカウントを設定する必要があるというダイアログが表示されます。You should see a dialog that requires you to set up your account for additional security verification.

多要素認証

リソースのクリーンアップClean up resources

不要になったら、テスト ユーザーと条件付きアクセス ポリシーを削除します。When no longer needed, delete the test user and the Conditional Access policy:

  • Azure AD ユーザーの削除方法がわからない場合は、「Azure AD からユーザーを削除する」を参照してください。If you don't know how to delete an Azure AD user, see Delete users from Azure AD.

  • ポリシーを削除するには、ポリシーを選択し、クイック アクセス ツール バーの [削除] をクリックします。To delete your policy, select your policy, and then click Delete in the quick access toolbar.

    多要素認証

次の手順Next steps