Azure Active Directory 条件付きアクセスによるアクセス制御の概要What are access controls in Azure Active Directory Conditional Access?

Azure Active Directory (Azure AD) の条件付きアクセスを使うと、承認されたユーザーによるクラウド アプリへのアクセスを制御できます。With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users access your cloud apps. 条件付きアクセス ポリシーでは、ポリシーをトリガーする理由 ("~が発生した場合") に対する応答 ("~を実行する") を定義します。In a Conditional Access policy, you define the response ("do this") to the reason for triggering your policy ("when this happens").

コントロール

条件付きアクセスの文脈では、In the context of Conditional Access,

  • "When this happens" (これが発生した場合は) を条件と呼びます。"When this happens" is called conditions
  • "Then do this" (これを実行する) をアクセス制御と呼びます。"Then do this" is called access controls

条件文とコントロールの組み合わせによって、条件付きアクセス ポリシーを表現します。The combination of a condition statement with your controls represents a Conditional Access policy.

コントロール

各コントロールはいずれも、サインインしようとしているユーザーまたはシステムが満たすべき要件と、サインインした後にユーザーができることに対する制約のいずれかになります。Each control is either a requirement that must be fulfilled by the person or system signing in, or a restriction on what the user can do after signing in.

コントロールには、次の 2 つの種類があります:There are two types of controls:

  • 許可コントロール: アクセスに制約を設けるコントロールGrant controls - To gate access
  • セッション コントロール: セッション内のアクセスを制限するコントロールSession controls - To restrict access within a session

このトピックでは、Azure AD の条件付きアクセスで利用できるさまざまなコントロールについて説明します。This topic explains the various controls that are available in Azure AD Conditional Access.

許可コントロールGrant controls

許可コントロールでは、アクセスをすべてブロックするか、必要なコントロールを選んで追加の要件を設定し、それを満たした場合にアクセスを許可するかのどちらかが可能です。With grant controls, you can either block access altogether or allow access with additional requirements by selecting the desired controls. コントロールを複数使用する場合には、次の条件も利用できます:For multiple controls, you can require:

  • 選択したコントロールすべてを満たす (AND)All selected controls to be fulfilled (AND)
  • 選択したコントロールのいずれか 1 つを満たす (OR)One selected control to be fulfilled (OR)

コントロール

多要素認証Multi-factor authentication

このコントロールを使用すると、指定されたクラウド アプリに対するアクセスに際して多要素認証を要求できます。You can use this control to require multi-factor authentication to access the specified cloud app. このコントロールでは、次の多要素認証プロバイダーをサポートしています:This control supports the following multi-factor providers:

  • Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
  • オンプレミスの多要素認証プロバイダー (ただし、Active Directory フェデレーション サービス (AD FS) を併用する必要があります)An on-premises multi-factor authentication provider, combined with Active Directory Federation Services (AD FS).

多要素認証を使用すると、承認されていないユーザーが有効なユーザーのプライマリ資格情報を入手した場合でも、リソースにアクセスされる事態を防ぐことができます。Using multi-factor authentication helps protect resources from being accessed by an unauthorized user who might have gained access to the primary credentials of a valid user.

準拠デバイスCompliant device

デバイスベースの条件付きアクセス ポリシーを構成できます。You can configure Conditional Access policies that are device-based. デバイスベースの条件付きアクセス ポリシーの目的は、選択したクラウド アプリへのアクセスを、マネージド デバイスのみに許可することです。The objective of a device-based Conditional Access policy is to only grant access to the selected cloud apps from managed devices. デバイスが準拠としてマークされていることを要求するのは、マネージド デバイスへのアクセスを制限するための 1 つのオプションです。Requiring a device to be marked as compliant is one option you have to limit access to managed devices. デバイスを準拠としてマークするには、Intune (任意のデバイス OS の場合) または Windows 10 デバイス用のサード パーティ製 MDM システムを使用できます。A device can be marked as compliant by Intune (for any device OS) or by your third-party MDM system for Windows 10 devices. Windows 10 以外のデバイスの OS の種類のサードパーティ製 MDM システムはサポートされていません。Third-party MDM systems for device OS types other than Windows 10 are not supported.

デバイスは準拠としてマークするには、その前にデバイスを Azure AD に登録する必要があります。Your device needs to be registered to Azure AD before it can be marked as compliant. デバイスを登録するには、次の 3 つのオプションがあります。To register a device, you have three options:

  • Azure AD 登録済みデバイスAzure AD registered devices
  • Azure AD 参加済みデバイスAzure AD joined devices
  • ハイブリッド Azure AD 参加済みデバイスHybrid Azure AD joined devices

これらの 3 つのオプションについては、「デバイス ID とは」という記事で説明されています。These three options are discussed in the article What is a device identity?

詳細については、条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する方法に関するページを参照してください。For more information, see how to require managed devices for cloud app access with Conditional Access.

ハイブリッド Azure AD 参加済みデバイスHybrid Azure AD joined device

デバイスベースの条件付きアクセス ポリシーを構成するための別のオプションとして、ハイブリッド Azure AD 参加済みデバイスの要求があります。Requiring a hybrid Azure AD joined device is another option you have to configure device-based Conditional Access policies. この要件では、Windows デスクトップ、ノート PC、エンタープライズ タブレットのうち、オンプレミスの Active Directory に参加しているデバイスが必要になります。This requirement refers to Windows desktops, laptops, and enterprise tablets that are joined to an on-premises Active Directory. このオプションを選ぶと、条件付きアクセス ポリシーは、オンプレミスの Active Directory とユーザーの Azure Active Directory に参加しているデバイスで行われるアクセスの試行にアクセスを許可します。If this option is selected, your Conditional Access policy grants access to access attempts made with devices that are joined to your on-premises Active Directory and your Azure Active Directory. Mac デバイスでは、ハイブリッド Azure AD 参加はサポートされていません。Mac devices do not support hybrid Azure AD join.

詳細については、Azure Active Directory のデバイスベースの条件付きアクセス ポリシーの設定に関するページを参照してください。For more information, see set up Azure Active Directory device-based Conditional Access policies.

承認されたクライアント アプリApproved client app

従業員は個人的な作業と業務上の作業のどちらにもモバイル デバイスを使用します。このため、会社のデータにアクセスするデバイスが自社で管理しているかどうかにかかわらず、会社のデータを保護できる必要があります。Because your employees use mobile devices for both personal and work tasks, you might want to have the ability to protect company data accessed using devices even in the case where they are not managed by you. Intune のアプリ保護ポリシーを使うと、使用しているモバイル デバイス管理 (MDM) ソリューションを問わず、会社のデータを守ることができます。You can use Intune app protection policies to help protect your company’s data independent of any mobile-device management (MDM) solution.

承認されたクライアント アプリを使用する方法では、クラウド アプリにアクセスしようとするクライアント アプリに対して Intune のアプリ保護ポリシー のサポートを要求できます。With approved client apps, you can require a client app that attempts to access your cloud apps to support Intune app protection policies. たとえば、Exchange Online に対するアクセスを Outlook アプリのみに制限することができます。For example, you can restrict access to Exchange Online to the Outlook app. 承認されたクライアント アプリを要求する条件付きアクセス ポリシーは、アプリベースの条件付きアクセス ポリシーとも呼ばれます。A Conditional Access policy that requires approved client apps is also known as app-based Conditional Access policy. サポートされている承認されたクライアント アプリの一覧は、承認されたクライアント アプリの要件に関するセクションを参照してください。For a list of supported approved client apps, see approved client app requirement.

アプリ保護ポリシー (プレビュー)App protection policy (preview)

従業員は個人的な作業と業務上の作業のどちらにもモバイル デバイスを使用します。このため、会社のデータにアクセスするデバイスが自社で管理しているかどうかにかかわらず、会社のデータを保護できる必要があります。Because your employees use mobile devices for both personal and work tasks, you might want to have the ability to protect company data accessed using devices even in the case where they are not managed by you. Intune のアプリ保護ポリシーを使うと、使用しているモバイル デバイス管理 (MDM) ソリューションを問わず、会社のデータを守ることができます。You can use Intune app protection policies to help protect your company’s data independent of any mobile-device management (MDM) solution.

アプリ保護ポリシーによって、Intune アプリ保護ポリシーを受け取ったことを Azure AD に報告したクライアント アプリケーションにアクセスを制限できます。With app protection policy, you can limit access to client applications that have reported to Azure AD has having received Intune app protection policies. たとえば、Exchange Online に対するアクセスを、Intune のアプリ保護ポリシーがある Outlook アプリのみに制限することができます。For example, you can restrict access to Exchange Online to the Outlook app that has an Intune app protection policy. アプリ保護ポリシーを必要とする条件付きアクセス ポリシーは、アプリ保護ベースの条件付きアクセス ポリシーとも呼ばれます。A Conditional Access policy that requires app protection policy is also known as app protection-based Conditional Access policy.

アプリケーションをポリシー保護とマークするには、その前にデバイスを Azure AD に登録する必要があります。Your device must be registered to Azure AD before an application can be marked as policy protected.

サポートされているポリシー保護されたクライアント アプリの一覧については、アプリの保護ポリシーの要件に関するセクションを参照してください。For a list of supported policy protected client apps, see app protection policy requirement.

使用条件Terms of use

テナント内のユーザーが、リソースへのアクセスを許可される前に使用条件に同意することを要求できます。You can require a user in your tenant to consent to the terms of use before being granted access to a resource. 管理者として、PDF ドキュメントをアップロードすることによって使用条件を構成およびカスタマイズできます。As an administrator, you can configure and customize terms of use by uploading a PDF document. ユーザーがこのコントロールのスコープに入った場合、アプリケーションへのアクセスは使用条件が同意された場合にのみ許可されます。If a user falls in scope of this control access to an application is only granted if the terms of use have been agreed.

カスタム コントロール (プレビュー)Custom controls (preview)

カスタム コントロールは、Azure Active Directory Premium P1 エディションの機能です。Custom controls are a capability of the Azure Active Directory Premium P1 edition. カスタム コントロールを使用すると、Azure Active Directory の外部でさらなる要件を満たすために、ユーザーが互換性のあるサービスにリダイレクトされます。When using custom controls, your users are redirected to a compatible service to satisfy further requirements outside of Azure Active Directory. このコントロールを満たすために、ユーザーのブラウザーは外部サービスにリダイレクトされ、すべての必要な認証または検証アクティビティを実行してから、元の Azure Active Directory にリダイレクトされます。To satisfy this control, a user’s browser is redirected to the external service, performs any required authentication or validation activities, and is then redirected back to Azure Active Directory. Azure Active Directory は応答を検証し、ユーザーが正常に認証または検証された場合、そのユーザーは条件付きアクセス フロー内にとどまります。Azure Active Directory verifies the response and, if the user was successfully authenticated or validated, the user continues in the Conditional Access flow.

これらのコントロールは、特定の外部サービスまたはカスタム サービスを条件付きアクセス コントロールとして使用できるようにし、一般には条件付きアクセスの機能を拡張します。These controls allow the use of certain external or custom services as Conditional Access controls, and generally extend the capabilities of Conditional Access.

現在、互換性のあるサービスを提供しているプロバイダーには次のものがあります。Providers currently offering a compatible service include:

これらのサービスの詳細については、プロバイダーに直接問い合せてください。For more information on those services, contact the providers directly.

カスタム コントロールの作成Creating custom controls

カスタム コントロールを作成するには、まず利用するプロバイダーに連絡する必要があります。To create a custom control, you should first contact the provider that you wish to utilize. Microsoft 以外の各プロバイダーには、サインアップ、サブスクライブ、またはサービスの一部になることや、条件付きアクセスとの統合の意思表示について、独自のプロセスと要件があります。Each non-Microsoft provider has its own process and requirements to sign up, subscribe, or otherwise become a part of the service, and to indicate that you wish to integrate with Conditional Access. その時点で、プロバイダーからは JSON 形式のデータ ブロックが提供されます。At that point, the provider will provide you with a block of data in JSON format. このデータにより、プロバイダーと条件付きアクセスがユーザーのテナント用に連携して動作できるようになり、新しいコントロールが作成され、ユーザーがプロバイダーの検証を正常に実行した場合は条件付きアクセスからどのように伝えられるかが定義されます。This data allows the provider and Conditional Access to work together for your tenant, creates the new control and defines how Conditional Access can tell if your users have successfully performed verification with the provider.

カスタム コントロールは、多要素認証を必要とする Identity Protection の自動化に使用できず、 Privileged Identity Manager (PIM) でのロールの昇格に使用できません。Custom controls cannot be used with Identity Protection's automation requiring multi-factor authentication or to elevate roles in Privileged Identity Manager (PIM).

その JSON データをコピーし、それを関連するテキスト ボックスに貼り付けます。Copy the JSON data and then paste it into the related textbox. 行おうとしている変更を明示的に理解していない限り、JSON を変更しないでください。Do not make any changes to the JSON unless you explicitly understand the change you’re making. 少しでも変更すると、プロバイダーと Microsoft の間の接続が中断され、アカウントからロック アウトされる可能性があります。Making any change could break the connection between the provider and Microsoft and potentially lock you and your users out of your accounts.

カスタム コントロールを作成するオプションは、 [条件付きアクセス] ページの [管理] セクションにあります。The option to create a custom control is in the Manage section of the Conditional Access page.

コントロール

[New custom control] (新しいカスタム コントロール) をクリックし、コントロールの JSON データ用のテキスト ボックスを含むブレードを開きます。Clicking New custom control, opens a blade with a textbox for the JSON data of your control.

コントロール

カスタム コントロールの削除Deleting custom controls

カスタム コントロールを削除するには、まずそれがどの条件付きアクセス ポリシーでも使用されていないことを確認する必要があります。To delete a custom control, you must first ensure that it isn’t being used in any Conditional Access policy. 完了したら、次のことを行います。Once complete:

  1. [Custom controls] (カスタム コントロール) 一覧に移動します。Go to the Custom controls list
  2. […] をクリックします。Click …
  3. [削除] を選択します。Select Delete.

カスタム コントロールの編集Editing custom controls

カスタム コントロールを編集するには、現在のコントロールを削除し、更新された情報で新しいコントロールを作成する必要があります。To edit a custom control, you must delete the current control and create a new control with the updated information.

セッション コントロールSession controls

セッション コントロールでは、クラウド アプリ内のエクスペリエンスを制限できます。Session controls enable limited experience within a cloud app. セッション コントロールは、クラウド アプリによって適用され、Azure AD がアプリに提供するセッションに関する追加情報に依存します。The session controls are enforced by cloud apps and rely on additional information provided by Azure AD to the app about the session.

コントロール

アプリによって適用される制限を使用するUse app enforced restrictions

このコントロールを使用して、選択されたクラウド アプリにデバイス情報を渡すように Azure AD に要求できます。You can use this control to require Azure AD to pass device information to the selected cloud apps. クラウド アプリは、デバイス情報によって、接続が準拠またはドメイン参加済みデバイスから開始されているかどうかを認識できます。The device information enables the cloud apps to know whether a connection is initiated from a compliant or domain-joined device. このコントロールでは、選択されたクラウド アプリとして SharePoint Online と Exchange Online のみがサポートされます。This control only supports SharePoint Online and Exchange Online as selected cloud apps. 選択されたクラウド アプリは、デバイス情報を使用して、デバイスの状態に応じて制限付きまたは完全なエクスペリエンスをユーザーに提供します。When selected, the cloud app uses the device information to provide users, depending on the device state, with a limited or full experience.

詳細については、次を参照してください。To learn more, see:

次のステップNext steps