条件付きアクセス:すべてのユーザーに対して MFA を必須にするConditional Access: Require MFA for all users

• 05/26/2020
• • M
  • o

Microsoft の ID セキュリティ責任者、Alex Weinert は彼のブログ投稿「Your Pa$$word doesn't matter」で次のように言っています。As Alex Weinert, the Directory of Identity Security at Microsoft, mentions in his blog post Your Pa$$word doesn't matter:

「重要なのはパスワードではなく、MFA です!」Your password doesn't matter, but MFA does! 私たちの研究によると、MFA を使用すると、アカウントは 99.9% 以上侵害されにくくなります。Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA.

この記事のガイダンスは、組織が環境に適したバランスの MFA ポリシーを作成する際に役立ちます。The guidance in this article will help your organization create a balanced MFA policy for your environment.

ユーザーの除外User exclusions

条件付きアクセス ポリシーは強力なツールであり、以下のアカウントはポリシーから除外することをお勧めします。Conditional Access policies are powerful tools, we recommend excluding the following accounts from your policy:

• 緊急アクセス用 アカウントまたは 非常用 アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。Emergency access or break-glass accounts to prevent tenant-wide account lockout. 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスを復旧する手順を実行できます。In the unlikely scenario all administrators are locked out of your tenant, your emergency-access administrative account can be used to log into the tenant take steps to recover access.
  • 詳細については、「Azure AD で緊急アクセス用アカウントを管理する」を参照してください。More information can be found in the article, Manage emergency access accounts in Azure AD.
• サービス アカウント と サービス プリンシパル (Azure AD Connect 同期アカウントなど)。Service accounts and service principals, such as the Azure AD Connect Sync Account. サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。Service accounts are non-interactive accounts that are not tied to any particular user. これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。They are normally used by back-end services allowing programmatic access to applications, but are also used to sign in to systems for administrative purposes. プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。Service accounts like these should be excluded since MFA can't be completed programmatically. サービス プリンシパルによって行われた呼び出しは、条件付きアクセスによってブロックされることはありません。Calls made by service principals are not blocked by Conditional Access.
  • 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。If your organization has these accounts in use in scripts or code, consider replacing them with managed identities. これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。As a temporary workaround, you can exclude these specific accounts from the baseline policy.

アプリケーションの除外Application exclusions

組織には、使用中のクラウド アプリケーションが多数あります。Organizations may have many cloud applications in use. これらのアプリケーションすべてで、同等のセキュリティが必要なわけではありません。Not all of those applications may require equal security. たとえば、給与と勤怠のアプリケーションには MFA が必要でも、カフェのアプリケーションでは必要ない可能性があります。For example, the payroll and attendance applications may require MFA but the cafeteria probably doesn't. 管理者は、ポリシーから特定のアプリケーションを除外することを選択できます。Administrators can choose to exclude specific applications from their policy.

条件付きアクセス ポリシーを作成するCreate a Conditional Access policy

次の手順では、すべてのユーザーに対して多要素認証の実行を必須にする条件付きアクセス ポリシーを作成します。The following steps will help create a Conditional Access policy to require All users to perform multi-factor authentication.

1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
3. [新しいポリシー] を選択します。Select New policy.
4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
   1. [Include](含める) で、 [すべてのユーザー] を選択します。Under Include, select All users
   2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。Under Exclude, select Users and groups and choose your organization's emergency access or break-glass accounts.
   3. [Done] を選択します。Select Done.
6. [Cloud apps or actions](クラウド アプリまたはアクション) > [Include](含める) で、 [すべてのクラウド アプリ] を選択します。Under Cloud apps or actions > Include, select All cloud apps.
   1. [除外] で、多要素認証を必要としないアプリケーションを選択します。Under Exclude, select any applications that do not require multi-factor authentication.
7. [条件] > [クライアント アプリ (プレビュー)] の [このポリシーを適用するクライアント アプリを選択します] で、すべてを既定値が選択された状態のままにして、 [完了] を選択します。Under Conditions > Client apps (Preview), under Select the client apps this policy will apply to leave all defaults selected and select Done.
8. [アクセス制御] > [許可] で、 [アクセス権の付与] 、 [Require multi-factor authentication](多要素認証を要求する) の順に選択し、 [Select](選択する) を選択します。Under Access controls > Grant, select Grant access, Require multi-factor authentication, and select Select.
9. 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。Confirm your settings and set Enable policy to On.
10. [作成] を選択して、ポリシーを作成および有効化します。Select Create to create to enable your policy.

ネームド ロケーションNamed locations

組織では、条件付きアクセス ポリシーに「ネームド ロケーション」と呼ばれる既知のネットワークの場所を組み込むことができます。Organizations may choose to incorporate known network locations known as Named locations to their Conditional Access policies. こうしたネームド ロケーションには、メイン オフィスの場所のような信頼できる IPv4 ネットワークを含めることができます。These named locations may include trusted IPv4 networks like those for a main office location. ネームド ロケーションの構成の詳細については、「Azure Active Directory 条件付きアクセスの場所の条件の概要」の記事を参照してください。For more information about configuring named locations, see the article What is the location condition in Azure Active Directory Conditional Access?

上記のポリシーの例では、組織は自社のネットワークからクラウド アプリにアクセスする場合に多要素認証を必要としないことを選択できます。In the example policy above, an organization may choose to not require multi-factor authentication if accessing a cloud app from their corporate network. この場合、次の構成をポリシーに追加できます。In this case they could add the following configuration to the policy:

1. [割り当て] で、 [条件] > [場所] を選択します。Under Assignments, select Conditions > Locations.
   1. [はい] を構成します。Configure Yes.
   2. [任意の場所] を含めます。Include Any location.
   3. [すべての信頼できる場所] を除外します。Exclude All trusted locations.
   4. [Done] を選択します。Select Done.
2. [Done] を選択します。Select Done.
3. ポリシーの変更を 保存 します。Save your policy changes.

次のステップNext steps

Conditional Access common policies (条件付きアクセスの一般的なポリシー)Conditional Access common policies

条件付きアクセスのレポート専用モードを使用した影響を判断するDetermine impact using Conditional Access report-only mode

Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)Simulate sign in behavior using the Conditional Access What If tool