条件付きアクセスポリシーでの場所の条件の使用

概要の記事で説明されているように、条件付きアクセス ポリシーは、その最も基本的なものが、シグナルを結合する if-then ステートメントで、決定を行い、組織のポリシーを適用します。 意思決定プロセスに組み込むことができるシグナルの 1 つに、場所があります。

概念的な条件付きシグナルと適用決定

組織は次のような一般的なタスクに対してこの場所を使用できます。

  • ユーザーが社内ネットワークから離れているときにサービスにアクセスする場合に、多要素認証を必須にする。
  • ユーザーが特定の国や地域からサービスにアクセスする場合にアクセスをブロックする

この場所は、クライアントが Azure Active Directory に提供するパブリック IP アドレス、または Microsoft Authenticator アプリによって提供される GPS 座標によって決定されます。 条件付きアクセス ポリシーは、既定ではすべての IPv4 アドレスおよび IPv6 アドレスに適用されます。

ネームド ロケーション

場所は、Azure portal の [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] > [ネームド ロケーション] で指定されます。 これらの名前付きネットワークの場所には、組織の本社のネットワーク範囲、VPN ネットワークの範囲、またはブロックする範囲などが含まれることがあります。 ネームド ロケーションは、IPv4/IPv6 アドレス範囲または国によって定義できます。

Azure portal 内のネームド ロケーション

IP アドレス範囲

IPv4/IPv6 アドレス範囲でネームド ロケーションを定義するには、以下を指定する必要があります。

  • 場所の 名前
  • 1 つ以上の IP 範囲
  • 信頼できる場所としてマークする (省略可能)

Azure portal の新しい IP の場所

IPv4/IPv6 アドレス範囲で定義されるネームド ロケーションには、次の制限事項が適用されます。

  • 最大 195 個のネームド ロケーションを構成する
  • ネームド ロケーションごとに最大 2000 個の IP 範囲を構成する
  • IPv4 と IPv6 の両方の範囲がサポートされる
  • プライベート IP 範囲は構成できない
  • 範囲に含まれる IP アドレスの数に制限がある。 IP 範囲を定義するときに、/8 より大きい CIDR マスクのみが許可されます。

信頼できる場所

管理者は、IP アドレス範囲で定義されている場所を、信頼できるネームド ロケーションとして指定できます。

信頼できるネームド ロケーションからのサインインにより、Azure AD Identity Protection のリスク計算の精度が向上し、信頼済みとしてマークされた場所から認証するときにユーザーのサインイン リスクが軽減されます。 さらに、信頼できるネームド ロケーションは、条件付きアクセス ポリシーのターゲットにすることができます。 たとえば、多要素認証の登録を信頼できる場所に制限することができます。

組織が IP アドレスまたは GPS 座標で国の場所を決定できます。

ネームド ロケーションを国別に定義するには、以下を指定する必要があります。

  • 場所の 名前
  • 場所を IP アドレスで決定するか GPS 座標で決定するかを選択する
  • 1 つ以上の国を追加する
  • 必要に応じて [不明な国/地域を含める] を選択する

Azure portal の場所としての国

[Determine location by IP address (IPv4 only)](場所を IP アドレスで決定する (IPv4 のみ)) を選択すると、システムはユーザーがサインインしているデバイスの IP アドレスを収集します。 ユーザーがサインインすると、Azure AD によってユーザーの IPv4 アドレスが国または地域に解決され、マッピングが定期的に更新されます。 組織は、国で定義されているネームド ロケーションを使用して、取引のない国からのトラフィックをブロックすることができます。

注意

IPv6 アドレスからのサインインは、国または地域にマップできず、不明な領域と見なされます。 国または地域にマップできるのは IPv4 アドレスのみです。

[GPS 座標による場所の特定] を選択した場合、ユーザーはモバイル デバイスに Microsoft Authenticator アプリをインストールする必要があります。 システムは 1 時間ごとに、ユーザーの Microsoft Authenticator アプリにアクセスしてユーザーのモバイル デバイスの GPS の場所を収集します。

ユーザーは自分の場所を共有するよう Microsoft Authenticator アプリから初めて求められるときに、アプリで通知を受け取ります。 ユーザーはアプリを開いて、場所のアクセス許可を付与する必要があります。

次の 24 時間、ユーザーがまだリソースにアクセスしていて、バックグラウンドで実行するアプリのアクセス許可を付与している場合、デバイスの場所は 1 時間に 1 回暗黙的に共有されます。 24 時間後、ユーザーはアプリを開いて通知を承認する必要があります。 ユーザーが自分の GPS の場所を共有するたびに、アプリはジェイルブレイク検出を実行します (Intune MAM SDK と同じロジックを使用)。 デバイスがジェイルブレイクされた場合、その場所は有効とは見なされず、ユーザーにはアクセス権が付与されません。

レポート専用モードの GPS ベースのネームド ロケーションを使用した条件付きアクセス ポリシーでは、ユーザーのサインインがブロックされていない場合でも、ユーザーに GPS の場所の共有を求めます。

重要

ユーザーには 1 時間おきにプロンプトが届き、Authenticator アプリで Azure AD がユーザーの位置を確認していることが知らされます。 プレビューは、この動作が容認されるか、アクセスを特定の国または地域に制限する必要がある、非常に機密性が高いアプリを保護する目的でのみ使用してください。

不明な国またはリージョンを含める

すべての IPv6 アドレスなど、IP アドレスによっては、特定の国またはリージョンにマップされないことがあります。 これらの IP の場所をキャプチャするには、地理的な場所を定義するときに [不明な国またはリージョンを含める] チェック ボックスをオンにします。 このオプションを使用すると、このような IP アドレスをネームド ロケーションに含めるかどうかを選択できます。 ネームド ロケーションを使用するポリシーを不明な場所に適用する場合は、この設定を使用します。

MFA の信頼できる IP の構成

多要素認証サービス設定で組織のローカル イントラネットを表す IP アドレス範囲を構成することもできます。 この機能を使用すると、最大 50 の IP アドレス範囲を設定できます。 IP アドレス範囲は CIDR 形式です。 詳細については、「信頼できる IP」を参照してください。

信頼できる IP が構成されている場合は、場所の条件の場所のリストに [MFA の信頼できる IP] として表示されます。

多要素認証をスキップする

多要素認証サービス設定ページでは、 [イントラネット内のフェデレーション ユーザーからのリクエストの場合、多要素認証をスキップする] を選択して、社内のイントラネット ユーザーを識別できます。 この設定は、AD FS から発行された社内ネットワークの要求を信頼し、社内ネットワーク上にあるユーザーを識別するために使用する必要があることを示します。 詳細については、「条件付きアクセスを使用した信頼できる IP 機能の有効化」を参照してください。

このオプションをオンにすると、ネームド ロケーションを含む MFA の信頼できる IP が、このオプションが選択されているすべてのポリシーに適用されます。

セッションの有効期間が長いモバイルおよびデスクトップ アプリケーションの場合、条件付きアクセスは定期的に再評価されます。 既定値は 1 時間に 1 回です。 社内ネットワーク要求が最初の認証時にのみ発行される場合、Azure AD に信頼できる IP 範囲の一覧がない場合があります。 この場合、ユーザーが社内ネットワーク内にまだいるかどうかを判断することは困難になります。

  1. ユーザーの IP アドレスが信頼できる IP 範囲のいずれかにあるかどうかを確認します。
  2. ユーザーの IP アドレスの最初の 3 オクテットが初期認証の IP アドレスの最初の 3 オクテットと一致するかどうかを確認します。 この IP アドレスが初期認証と比較されるのは、社内ネットワーク要求が最初に発行されて、ユーザーの場所が検証されたときです。

両方の手順が失敗した場合、ユーザーは信頼された IP 上に存在しなくなったと見なされます。

ポリシーの場所の条件

場所の条件を構成するときに、以下を区別することができます。

  • 任意の場所
  • すべての信頼できる場所
  • 選択された場所

任意の場所

既定では、 [任意の場所] を選択すると、インターネット上の任意のアドレスを意味するすべての IP アドレスにポリシーが適用されます。 この設定は、ネームド ロケーションとして設定した IP アドレスに限定されません。 [任意の場所] を選択した場合でも、特定の場所をポリシーから除外できます。 たとえば、社内ネットワーク以外のすべての場所に範囲を設定するには、信頼できる場所を除くすべての場所にポリシーを適用します。

すべての信頼できる場所

このオプションの適用対象:

  • 信頼できる場所としてマークされているすべての場所
  • MFA の信頼できる IP (構成されている場合)

選択された場所

このオプションを使用すると、ネームド ロケーションを 1 つ以上選択できます。 この設定を適用するポリシーの場合、ユーザーは選択したいずれかの場所から接続する必要があります。 名前付きネットワークを 選択 すると、名前付きネットワークの一覧が表示される選択コントロールが開きます。 この一覧には、ネットワークの場所が信頼済みとマークされているかどうかも表示されます。 MFA の信頼できる IP というネームド ロケーションは、多要素認証サービス設定ページで構成できる IP 設定を含めるために使用されます。

IPv6 トラフィック

既定では、条件付きアクセス ポリシーは、すべての IPv6 トラフィックに適用されます。 特定の IPv6 範囲に対してポリシーを適用しない場合は、条件付きアクセス ポリシーから特定の IPv6 アドレス範囲を除外することができます。 たとえば、企業ネットワークでを使用するためのポリシーを強制しない場合に、企業ネットワークがパブリック IPv6 範囲でホストされているような場合です。

Azure AD サインイン アクティビティ レポートでの IPv6 トラフィックの特定

テナント内の IPv6 トラフィックを探索するには、Azure AD サインイン アクティビティ レポートに移動します。 アクティビティ レポートを開いた後、[IP アドレス] 列を追加します。 この列で、IPv6 トラフィックを識別できます。

また、レポート内の行をクリックし、サインイン アクティビティの詳細の [場所] タブに移動して、クライアント IP を見つけることもできます。

テナントで IPv6 トラフィックを使用するようになるのはいつですか。

Azure Active Directory (Azure AD) は、現時点では IPv6 を使用する直接ネットワーク接続をサポートしていません。 ただし、認証トラフィックが別のサービスによってプロキシされる場合があります。 そのような場合は、ポリシーの評価時に IPv6 アドレスが使用されます。

Azure AD にプロキシされる IPv6 トラフィックの大部分は、Microsoft Exchange Online から送信されます。 使用可能な場合、Exchange では IPv6 接続が優先されます。 そのため、特定の IPv4 範囲に対して構成されている Exchange 用の条件付きアクセスポリシーがある場合は、組織の IPv6 範囲も追加していることを確認してください。 IPv6 の範囲を含めないと、次の 2 つの場合に予期しない動作が発生します。

  • レガシ認証を使用して Exchange Online に接続するためにメール クライアントが使用されている場合、Azure AD は IPv6 アドレスを受け取ることがあります。 最初の認証要求は、Exchange に送られ、その後 Azure AD にプロキシされます。
  • ブラウザーで Outlook Web Access (OWA) を使用すると、すべての条件付きアクセスポリシーが引き続き満たされているかどうかが定期的に確認されます。 このチェックを使用して、ユーザーが許可された IP アドレスから新しい場所 (コーヒー ショップなど) に移動した可能性が確認されます。 この場合、IPv6 アドレスが使用されていて、その IPv6 アドレスが構成された範囲内にない場合は、ユーザーのセッションが中断され、再認証のために Azure AD に戻される可能性があります。

さらに、Azure VNet を使用している場合は、IPv6 アドレスからのトラフィックが発生します。 条件付きアクセスポリシーによって VNet トラフィックがブロックされている場合は、Azure AD のサインイン ログを確認します。 トラフィックを特定したら、使用されている IPv6 アドレスを確認し、ポリシーから除外することができます。

注意

1 つのアドレスに対して IP CIDR 範囲を指定する場合は、/128 ビット マスクを適用します。 IPv6 アドレス 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a が表示され、1 つのアドレスを範囲として除外する場合は、2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128 を使用します。

知っておくべきこと

場所が評価されるタイミング

条件付きアクセス ポリシーは、次のときに評価されます。

  • ユーザーが Web アプリ、モバイルまたはデスクトップ アプリケーションに最初にサインインするとき。
  • 最新の認証を使用するモバイルまたはデスクトップ アプリケーションが、更新トークンを使用して新しいアクセス トークンを取得するとき。 既定で、この検査が行われるのは 1 時間に 1 回です。

つまり、最新の認証を使用しているモバイル アプリケーションおよびデスクトップ アプリケーションの場合、この検査で場所の変更が検出されるのは、ネットワークの場所を変更してから 1 時間以内になります。 最新の認証を使用していないモバイルおよびデスクトップ アプリケーションの場合、ポリシーは、トークン要求ごとに適用されます。 要求の頻度は、アプリケーションによって異なります。 同様に、Web アプリケーションについては、ポリシーは、Web アプリケーションへの最初のサインイン時に適用され、セッションの有効期間にわたって有効です。 アプリケーションによってセッションの有効期間が異なるため、ポリシー評価の間隔も異なります。 ポリシーは、アプリケーションが新しいサインイン トークンを要求するたびに適用されます。

既定で、Azure AD は 1 時間ごとにトークンを発行します。 社内ネットワークから離れた後、1 時間以内に最新の認証を使用するアプリケーションに対してポリシーが適用されます。

ユーザーの IP アドレス

ポリシー評価で使用される IP アドレスは、ユーザーのパブリック IP アドレスです。 プライベート ネットワーク上のデバイスの場合、この IP アドレスはイントラネット上のユーザー デバイスのクライアント IP ではなく、ネットワークがパブリック インターネットに接続するために使用するアドレスです。

ネームド ロケーションの一括アップロードとダウンロード

一括更新でネームド ロケーションを作成または更新する場合は、IP 範囲を含む CSV ファイルをアップロードまたはダウンロードできます。 アップロードによって、一覧内の IP 範囲がファイルの IP 範囲に置き換えられます。 ファイルの各行には、CIDR 形式の IP アドレス範囲が 1 つ含まれています。

クラウド プロキシと VPN

クラウドでホストされているプロキシまたは VPN ソリューションを使用する場合、ポリシーの評価中に Azure AD が使用する IP アドレスは、プロキシの IP アドレスです。 ユーザーのパブリック IP アドレスを含む X-Forwarded-For (XFF) ヘッダーは、信頼できるソースから送信されたという検証が行われないために IP アドレスの偽装方法となることが多く、使用されません。

クラウド プロキシが配置されている場合は、Hybrid Azure AD Join を使用したデバイスを要求するために使用されるポリシーを使用できます。または AD FS の企業ネットワーク要求を使用できます。

API のサポートと PowerShell

ネームド ロケーションに対して Graph API のプレビュー バージョンを利用できます。詳細については、namedLocation API を参照してください。

次のステップ