条件付きアクセスポリシーでの場所の条件の使用Using the location condition in a Conditional Access policy

概要の記事で説明されているように、条件付きアクセス ポリシーは、その最も基本的なものが、シグナルを結合する if-then ステートメントで、決定を行い、組織のポリシーを適用します。As explained in the overview article Conditional Access policies are at their most basic an if-then statement combining signals, to make decisions, and enforce organization policies. 意思決定プロセスに組み込むことができるシグナルの 1 つに、ネットワークの場所があります。One of those signals that can be incorporated into the decision-making process is network location.

概念的な条件付きシグナルと適用決定

組織は次のような一般的なタスクに対してこのネットワークの場所を使用できます。Organizations can use this network location for common tasks like:

  • ユーザーが社内ネットワークから離れているときにサービスにアクセスする場合に、多要素認証を必須にする。Requiring multi-factor authentication for users accessing a service when they are off the corporate network.
  • ユーザーが特定の国や地域からサービスにアクセスする場合にアクセスをブロックするBlocking access for users accessing a service from specific countries or regions.

ネットワークの場所は、クライアントが Azure Active Directory に提供するパブリック IP アドレスによって決定されます。The network location is determined by the public IP address a client provides to Azure Active Directory. 条件付きアクセス ポリシーは、既定ではすべての IPv4 アドレスおよび IPv6 アドレスに適用されます。Conditional Access policies by default apply to all IPv4 and IPv6 addresses.

ヒント

IPv6 範囲は、 ネームド ロケーション (プレビュー) インターフェイスでのみサポートされています。IPv6 ranges are only supported in the Named location (preview) interface.

ネームド ロケーションNamed locations

場所は、Azure portal の [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] > [ネームド ロケーション] で指定されます。Locations are designated in the Azure portal under Azure Active Directory > Security > Conditional Access > Named locations. これらの名前付きネットワークの場所には、組織の本社のネットワーク範囲、VPN ネットワークの範囲、またはブロックする範囲などが含まれることがあります。These named network locations may include locations like an organization's headquarters network ranges, VPN network ranges, or ranges that you wish to block.

Azure portal 内のネームド ロケーション

ロケーションを構成するには、少なくとも 名前 と IP 範囲を指定する必要があります。To configure a location, you will need to provide at least a Name and the IP range.

構成できるネームド ロケーションの数は、Azure AD 内の関連するオブジェクトのサイズによって制約されます。The number of named locations you can configure is constrained by the size of the related object in Azure AD. 次の制限事項に基づいて場所を構成できます。You can configure locations based on of the following limitations:

  • 1 つのネームド ロケーションで、最大 1200 の IPv4 範囲。One named location with up to 1200 IPv4 ranges.
  • 最大 90 のネームド ロケーションで、それぞれ 1 つ割り当てられる IP 範囲。A maximum of 90 named locations with one IP range assigned to each of them.

ヒント

IPv6 範囲は、 ネームド ロケーション (プレビュー) インターフェイスでのみサポートされています。IPv6 ranges are only supported in the Named location (preview) interface.

信頼できる場所Trusted locations

ネットワークの場所を作成する場合、管理者には、ある場所を信頼できる場所としてマークするためのオプションがあります。When creating a network location, an administrator has the option to mark a location as a trusted location.

Azure portal 内の信頼できる場所

このオプションには、たとえば、信頼できるネットワークの場所からの多要素認証のための登録が必要な場合の条件付きアクセス ポリシーを考慮に入れることができます。This option can factor in to Conditional Access policies where you may, for example, require registration for multi-factor authentication from a trusted network location. また、Azure AD Identity Protection のリスク計算を考慮に入れて、信頼済みとしてマークされた場所からのユーザーのサインイン リスクを低下させます。It also factors in to Azure AD Identity Protection's risk calculation, lowering a users' sign-in risk when coming from a location marked as trusted.

国およびリージョンCountries and regions

一部の組織では、国またはリージョンの IP 境界全体を、条件付きアクセス ポリシーのネームド ロケーションとして定義することがあります。Some organizations may choose to define entire countries or regions IP boundaries as named locations for Conditional Access policies. 北朝鮮などの場所から有効なユーザーがアクセスすることがないことがわかっている場合、不要なトラフィックをブロックするときに、これらの場所を使用することがあります。They may use these locations when blocking unnecessary traffic when they know valid users will never come from a location such as North Korea. これらの IP アドレスから国へのマッピングは、定期的に更新されます。These mappings of IP address to country are updated periodically.

注意

IPv6 アドレス範囲を国にマップすることはできません。IPv6 address ranges cannot be mapped to countries. 国にマップされるのは IPv4 アドレスのみです。Only IPv4 addresses map to countries.

Azure portal で国またはリージョンに基づいた新しい場所を作成する

不明な領域を含めるInclude unknown areas

すべての IPv6 アドレスなど、IP アドレスによっては、特定の国またはリージョンにマップされないことがあります。Some IP addresses are not mapped to a specific country or region, including all IPv6 addresses. これらの IP の場所をキャプチャするには、場所を定義するときに [不明な領域を含める] のチェックボックスをオンに ます。To capture these IP locations, check the box Include unknown areas when defining a location. このオプションを使用すると、このような IP アドレスをネームド ロケーションに含めるかどうかを選択できます。This option allows you to choose if these IP addresses should be included in the named location. ネームド ロケーションを使用するポリシーを不明な場所に適用する場合は、この設定を使用します。Use this setting when the policy using the named location should apply to unknown locations.

MFA の信頼できる IP の構成Configure MFA trusted IPs

多要素認証サービス設定で組織のローカル イントラネットを表す IP アドレス範囲を構成することもできます。You can also configure IP address ranges representing your organization's local intranet in the multi-factor authentication service settings. この機能を使用すると、最大 50 の IP アドレス範囲を設定できます。This feature enables you to configure up to 50 IP address ranges. IP アドレス範囲は CIDR 形式です。The IP address ranges are in CIDR format. 詳細については、「信頼できる IP」を参照してください。For more information, see Trusted IPs.

信頼できる IP を構成していると、その IP が場所の条件の場所の一覧の中で [MFA の信頼できる IP] として表示されます。If you have Trusted IPs configured, they show up as MFA Trusted IPS in the list of locations for the location condition.

多要素認証をスキップするSkipping multi-factor authentication

多要素認証サービス設定ページでは、 [イントラネット内のフェデレーション ユーザーからのリクエストの場合、多要素認証をスキップする] を選択して、社内のイントラネット ユーザーを識別できます。On the multi-factor authentication service settings page, you can identify corporate intranet users by selecting Skip multi-factor authentication for requests from federated users on my intranet. この設定は、AD FS から発行された社内ネットワークの要求を信頼し、社内ネットワーク上にあるユーザーを識別するために使用する必要があることを示します。This setting indicates that the inside corporate network claim, which is issued by AD FS, should be trusted and used to identify the user as being on the corporate network. 詳細については、「条件付きアクセスを使用した信頼できる IP 機能の有効化」を参照してください。For more information, see Enable the Trusted IPs feature by using Conditional Access.

このオプションをオンにした後、ネームド ロケーションの MFA の信頼できる IP は、このオプションが選択されているすべてのポリシーに適用されます。After checking this option, including the named location MFA Trusted IPS will apply to any policies with this option selected.

セッションの有効期間が長いモバイルおよびデスクトップ アプリケーションの場合、条件付きアクセスは定期的に再評価されます。For mobile and desktop applications, which have long lived session lifetimes, Conditional Access is periodically reevaluated. 既定値は 1 時間に 1 回です。The default is once an hour. 社内ネットワーク要求が最初の認証時にのみ発行される場合、Azure AD に信頼できる IP 範囲の一覧がない場合があります。When the inside corporate network claim is only issued at the time of the initial authentication, Azure AD may not have a list of trusted IP ranges. この場合、ユーザーが社内ネットワーク内にまだいるかどうかを判断することは困難になります。In this case, it is more difficult to determine if the user is still on the corporate network:

  1. ユーザーの IP アドレスが信頼できる IP 範囲のいずれかにあるかどうかを確認します。Check if the user’s IP address is in one of the trusted IP ranges.
  2. ユーザーの IP アドレスの最初の 3 オクテットが初期認証の IP アドレスの最初の 3 オクテットと一致するかどうかを確認します。Check whether the first three octets of the user’s IP address match the first three octets of the IP address of the initial authentication. この IP アドレスが初期認証と比較されるのは、社内ネットワーク要求が最初に発行されて、ユーザーの場所が検証されたときです。The IP address is compared with the initial authentication when the inside corporate network claim was originally issued and the user location was validated.

両方の手順が失敗した場合、ユーザーは信頼された IP 上に存在しなくなったと見なされます。If both steps fail, a user is considered to be no longer on a trusted IP.

プレビュー機能Preview features

一般公開されているネームド ロケーションの機能に加えて、ネームド ロケーション (プレビュー) もあります。In addition to the generally available named location feature, there is also a named location (preview). 現在のネームド ロケーション ブレードの上部にあるバナーを使用して、ネームド ロケーションのプレビューにアクセスすることができます。You can access the named location preview by using the banner at the top of the current named location blade.

ネームド ロケーション プレビューを試す

ネームド ロケーション プレビューを使用すると、次のことができますWith the named location preview, you are able to

  • 最大 195 個のネームド ロケーションを構成するConfigure up to 195 named locations
  • ネームド ロケーションごとに最大 2000 個の IP 範囲を構成するConfigure up to 2000 IP Ranges per named location
  • IPv4 アドレスと共に IPv6 アドレスを構成するConfigure IPv6 addresses alongside IPv4 addresses

また、誤った構成変更を減らすために、いくつかの追加チェックも追加しました。We’ve also added some additional checks to help reduce the change of misconfiguration.

  • プライベート IP 範囲を構成できなくなりましたPrivate IP ranges can no longer be configured
  • 範囲に含めることができる IP アドレスの数は制限されています。The number of IP addresses that can be included in a range are limited. IP 範囲を構成するときに、/8 より大きい CIDR マスクのみが許可されます。Only CIDR masks greater than /8 will be allowed when configuring an IP range.

プレビューでは、次の 2 つの作成オプションが使用できるようになりました。With the preview, there are now two create options:

  • 国の場所Countries location
  • IP 範囲の場所IP ranges location

注意

IPv6 アドレス範囲を国にマップすることはできません。IPv6 address ranges cannot be mapped to countries. 国にマップされるのは IPv4 アドレスのみです。Only IPv4 addresses map to countries.

ネームド ロケーション プレビューのインターフェイス

ポリシーの場所の条件Location condition in policy

場所の条件を構成するときに、次の項目を区別することができます。When you configure the location condition, you have the option to distinguish between:

  • 任意の場所Any location
  • すべての信頼できる場所All trusted locations
  • 選択された場所Selected locations

任意の場所Any location

既定では、 [任意の場所] を選択すると、インターネット上の任意のアドレスを意味するすべての IP アドレスにポリシーが適用されます。By default, selecting Any location causes a policy to be applied to all IP addresses, which means any address on the Internet. この設定は、ネームド ロケーションとして設定した IP アドレスに限定されません。This setting is not limited to IP addresses you have configured as named location. [任意の場所] を選択した場合でも、特定の場所をポリシーから除外できます。When you select Any location, you can still exclude specific locations from a policy. たとえば、社内ネットワーク以外のすべての場所に範囲を設定するには、信頼できる場所を除くすべての場所にポリシーを適用します。For example, you can apply a policy to all locations except trusted locations to set the scope to all locations, except the corporate network.

すべての信頼できる場所All trusted locations

このオプションの適用対象:This option applies to:

  • 信頼できる場所としてマークされているすべての場所All locations that have been marked as trusted location
  • MFA の信頼できる IP (構成されている場合)MFA Trusted IPS (if configured)

選択された場所Selected locations

このオプションを使用すると、ネームド ロケーションを 1 つ以上選択できます。With this option, you can select one or more named locations. この設定を適用するポリシーの場合、ユーザーは選択したいずれかの場所から接続する必要があります。For a policy with this setting to apply, a user needs to connect from any of the selected locations. [選択] をクリックすると、名前付きネットワークの一覧が表示される名前付きネットワークの選択コントロールが開きます。When you click Select the named network selection control that shows the list of named networks opens. この一覧には、ネットワークの場所が信頼済みとマークされているかどうかも表示されます。The list also shows if the network location has been marked as trusted. MFA の信頼できる IP というネームド ロケーションは、多要素認証サービス設定ページで構成できる IP 設定を含めるために使用されます。The named location called MFA Trusted IPs is used to include the IP settings that can be configured in the multi-factor authentication service setting page.

IPv6 トラフィックIPv6 traffic

既定では、条件付きアクセス ポリシーは、すべての IPv6 トラフィックに適用されます。By default, Conditional Access policies will apply to all IPv6 traffic. ネームド ロケーションのプレビューを使用すると、条件付きアクセスポリシーから特定の IPv6 アドレス範囲を除外できます。With the named location preview, you can exclude specific IPv6 address ranges from a Conditional Access policy. このオプションは、特定の IPv6 範囲に対してポリシーを適用しない場合に便利です。This option is useful in cases where you don’t want policy to be enforced for specific IPv6 ranges. たとえば、企業ネットワークでを使用するためのポリシーを強制しない場合に、企業ネットワークがパブリック IPv6 範囲でホストされているような場合です。For example, if you want to not enforce a policy for uses on your corporate network, and your corporate network is hosted on public IPv6 ranges.

テナントで IPv6 トラフィックを使用するようになるのはいつですか。When will my tenant have IPv6 traffic?

Azure Active Directory (Azure AD) は、現時点では IPv6 を使用する直接ネットワーク接続をサポートしていません。Azure Active Directory (Azure AD) doesn’t currently support direct network connections that use IPv6. ただし、認証トラフィックが別のサービスによってプロキシされる場合があります。However, there are some cases that authentication traffic is proxied through another service. そのような場合は、ポリシーの評価時に IPv6 アドレスが使用されます。In these cases, the IPv6 address will be used during policy evaluation.

Azure AD にプロキシされる IPv6 トラフィックの大部分は、Microsoft Exchange Online から送信されます。Most of the IPv6 traffic that gets proxied to Azure AD comes from Microsoft Exchange Online. 使用可能な場合、Exchange では IPv6 接続が優先されます。When available, Exchange will prefer IPv6 connections. そのため、特定の IPv4 範囲に対して構成されている Exchange 用の条件付きアクセスポリシーがある場合は、組織の IPv6 範囲も追加していることを確認してください。So if you have any Conditional Access policies for Exchange, that have been configured for specific IPv4 ranges, you’ll want to make sure you’ve also added your organizations IPv6 ranges. IPv6 の範囲を含めないと、次の 2 つの場合に予期しない動作が発生します。Not including IPv6 ranges will cause unexpected behavior for the following two cases:

  • レガシ認証を使用して Exchange Online に接続するためにメール クライアントが使用されている場合、Azure AD は IPv6 アドレスを受け取ることがあります。When a mail client is used to connect to Exchange Online with legacy authentication, Azure AD may receive an IPv6 address. 最初の認証要求は、Exchange に送られ、その後 Azure AD にプロキシされます。The initial authentication request goes to Exchange and is then proxied to Azure AD.
  • ブラウザーで Outlook Web Access (OWA) を使用すると、すべての条件付きアクセスポリシーが引き続き満たされているかどうかが定期的に確認されます。When Outlook Web Access (OWA) is used in the browser, it will periodically verify all Conditional Access policies continue to be satisfied. このチェックを使用して、ユーザーが許可された IP アドレスから新しい場所 (コーヒー ショップなど) に移動した可能性が確認されます。This check is used to catch cases where a user may have moved from an allowed IP address to a new location, like the coffee shop down the street. この場合、IPv6 アドレスが使用されていて、その IPv6 アドレスが構成された範囲内にない場合は、ユーザーのセッションが中断され、再認証のために Azure AD に戻される可能性があります。In this case, if an IPv6 address is used and if the IPv6 address is not in a configured range, the user may have their session interrupted and be directed back to Azure AD to reauthenticate.

これらは、ネームド ロケーションに IPv6 の範囲を構成することが必要になる可能性がある最も一般的な理由です。These are the most common reasons you may need to configure IPv6 ranges in your named locations. さらに、Azure VNet を使用している場合は、IPv6 アドレスからのトラフィックが発生します。In addition, if you are using Azure VNets, you will have traffic coming from an IPv6 address. 条件付きアクセスポリシーによって VNet トラフィックがブロックされている場合は、Azure AD のサインイン ログを確認します。If you have VNet traffic blocked by a Conditional Access policy, check your Azure AD sign-in log. トラフィックを特定したら、使用されている IPv6 アドレスを確認し、ポリシーから除外することができます。Once you’ve identified the traffic, you can get the IPv6 address being used and exclude it from your policy.

注意

1 つのアドレスに対して IP CIDR 範囲を指定する場合は、/128 ビット マスクを適用します。If you want to specify an IP CIDR range for a single address, apply the /128 bit mask. たとえば IPv6 アドレス 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a があり、この 1 つのアドレスを範囲として除外する場合は、2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128 を使用します。If you say the IPv6 address 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a and wanted to exclude that single address as a range, you would use 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Azure AD サインイン アクティビティ レポートでの IPv6 トラフィックの特定Identifying IPv6 traffic in the Azure AD Sign-in activity reports

テナント内の IPv6 トラフィックを探索するには、Azure AD サインイン アクティビティ レポートに移動します。You can discover IPv6 traffic in your tenant by going the Azure AD sign-in activity reports. アクティビティ レポートを開いた後、[IP アドレス] 列を追加します。After you have the activity report open, add the “IP address” column. この列で、IPv6 トラフィックを識別できます。This column will give you to identify the IPv6 traffic.

また、レポート内の行をクリックし、サインイン アクティビティの詳細の [場所] タブに移動して、クライアント IP を見つけることもできます。You can also find the client IP by clicking a row in the report, and then going to the “Location” tab in the sign-in activity details.

知っておくべきことWhat you should know

場所が評価されるタイミングWhen is a location evaluated?

条件付きアクセス ポリシーは、次のときに評価されます。Conditional Access policies are evaluated when:

  • ユーザーが Web アプリ、モバイルまたはデスクトップ アプリケーションに最初にサインインするとき。A user initially signs in to a web app, mobile or desktop application.
  • 最新の認証を使用するモバイルまたはデスクトップ アプリケーションが、更新トークンを使用して新しいアクセス トークンを取得するとき。A mobile or desktop application that uses modern authentication, uses a refresh token to acquire a new access token. 既定で、この検査が行われるのは 1 時間に 1 回です。By default this check is once an hour.

つまり、最新の認証を使用しているモバイル アプリケーションおよびデスクトップ アプリケーションの場合、この検査で場所の変更が検出されるのは、ネットワークの場所を変更してから 1 時間以内になります。This check means for mobile and desktop applications using modern authentication, a change in location would be detected within an hour of changing the network location. 最新の認証を使用していないモバイルおよびデスクトップ アプリケーションの場合、ポリシーは、トークン要求ごとに適用されます。For mobile and desktop applications that don’t use modern authentication, the policy is applied on each token request. 要求の頻度は、アプリケーションによって異なります。The frequency of the request can vary based on the application. 同様に、Web アプリケーションについては、ポリシーは、Web アプリケーションへの最初のサインイン時に適用され、セッションの有効期間にわたって有効です。Similarly, for web applications, the policy is applied at initial sign-in and is good for the lifetime of the session at the web application. アプリケーションによってセッションの有効期間が異なるため、ポリシー評価の間隔も異なります。Due to differences in session lifetimes across applications, the time between policy evaluation will also vary. ポリシーは、アプリケーションが新しいサインイン トークンを要求するたびに適用されます。Each time the application requests a new sign-in token, the policy is applied.

既定で、Azure AD は 1 時間ごとにトークンを発行します。By default, Azure AD issues a token on an hourly basis. 社内ネットワークから離れた後、1 時間以内に最新の認証を使用するアプリケーションに対してポリシーが適用されます。After moving off the corporate network, within an hour the policy is enforced for applications using modern authentication.

ユーザーの IP アドレスUser IP address

ポリシー評価で使用される IP アドレスは、ユーザーのパブリック IP アドレスです。The IP address that is used in policy evaluation is the public IP address of the user. プライベート ネットワーク上のデバイスの場合、この IP アドレスはイントラネット上のユーザー デバイスのクライアント IP ではなく、ネットワークがパブリック インターネットに接続するために使用するアドレスです。For devices on a private network, this IP address is not the client IP of the user’s device on the intranet, it is the address used by the network to connect to the public internet.

ネームド ロケーションの一括アップロードとダウンロードBulk uploading and downloading of named locations

一括更新でネームド ロケーションを作成または更新する場合は、IP 範囲を含む CSV ファイルをアップロードまたはダウンロードできます。When you create or update named locations, for bulk updates, you can upload or download a CSV file with the IP ranges. アップロードによって、一覧内の IP 範囲がファイルの IP 範囲に置き換えられます。An upload replaces the IP ranges in the list with those ranges from the file. ファイルの各行には、CIDR 形式の IP アドレス範囲が 1 つ含まれています。Each row of the file contains one IP Address range in CIDR format.

クラウド プロキシと VPNCloud proxies and VPNs

クラウドでホストされているプロキシまたは VPN ソリューションを使用する場合、ポリシーの評価中に Azure AD が使用する IP アドレスは、プロキシの IP アドレスです。When you use a cloud hosted proxy or VPN solution, the IP address Azure AD uses while evaluating a policy is the IP address of the proxy. ユーザーのパブリック IP アドレスを含む X-Forwarded-For (XFF) ヘッダーは、信頼できるソースから送信されたという検証が行われないために IP アドレスの偽装方法となることが多く、使用されません。The X-Forwarded-For (XFF) header that contains the user’s public IP address is not used because there is no validation that it comes from a trusted source, so would present a method for faking an IP address.

クラウド プロキシが配置されている場合は、Hybrid Azure AD Join を使用したデバイスを要求するために使用されるポリシーを使用できます。または AD FS の企業ネットワーク要求を使用できます。When a cloud proxy is in place, a policy that is used to require a hybrid Azure AD joined device can be used, or the inside corpnet claim from AD FS.

API のサポートと PowerShellAPI support and PowerShell

ネームド ロケーションに対して Graph API のプレビュー バージョンを利用できます。詳細については、namedLocation API を参照してください。A preview version of the Graph API for named locations is available, for more information see the namedLocation API.

注意

PowerShell で作成したネームド ロケーションは、ネームド ロケーションにのみ表示されます (プレビュー)。Named locations that you create by using PowerShell display only in Named locations (preview). 以前のビューにはネームド ロケーションが表示されません。You can't see named locations in the old view.

次のステップNext steps