Azure Active Directory 条件付きアクセスの場所の条件の概要What is the location condition in Azure Active Directory Conditional Access?

Azure Active Directory (Azure AD) の条件付きアクセスを使うと、承認されたユーザーがどのようにクラウド アプリにアクセスするかを制御できます。With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users can access your cloud apps. 条件付きアクセス ポリシーの場所の条件によって、アクセス制御設定をユーザーのネットワークの場所に関連付けることができます。The location condition of a Conditional Access policy enables you to tie access controls settings to the network locations of your users.

この記事では、場所の条件を構成するために必要な情報について説明します。This article provides you with the information you need to configure the location condition.

場所Locations

Azure AD を使用すると、パブリック インターネットに接続できる任意の場所からデバイス、アプリ、およびサービスにシングル サインオンできます。Azure AD enables single sign-on to devices, apps, and services from anywhere on the public internet. 場所の条件を使用すると、ユーザーのネットワークの場所に基づいて、クラウド アプリへのアクセスを制御できます。With the location condition, you can control access to your cloud apps based on the network location of a user. 場所の条件の一般的なユース ケース:Common use cases for the location condition are:

  • ユーザーが社内ネットワークから離れているときにサービスにアクセスする場合に、多要素認証を必須にする。Requiring multi-factor authentication for users accessing a service when they are off the corporate network.
  • ユーザーが特定の国や地域からサービスにアクセスする場合にアクセスをブロックするBlocking access for users accessing a service from specific countries or regions.

場所は、ネットワークの場所のラベルであり、ネームド ロケーションまたは多要素認証の信頼できる IP を表します。A location is a label for a network location that either represents a named location or multi-factor authentication Trusted IPs.

ネームド ロケーションNamed locations

ネームド ロケーションを使用すると、IP アドレス範囲または国や地域の論理グループを作成できます。With named locations, you can create logical groupings of IP address ranges or countries and regions.

[条件付きアクセス] ページの [管理] セクションで、ネームド ロケーションにアクセスできます。You can access your named locations in the Manage section of the Conditional Access page.

条件付きアクセスでのネームド ロケーション

ネームド ロケーションには、次のコンポーネントがあります。A named location has the following components:

新しいネームド ロケーションを作成する

  • 名前 - ネームド ロケーションの表示名。Name - The display name of a named location.

  • IP 範囲 - CIDR 形式の 1 つ以上の IPv4 アドレス範囲。IP ranges - One or more IPv4 address ranges in CIDR format. IPv6 アドレス範囲の指定はサポートされていません。Specifying an IPv6 address range is not supported.

    注意

    IPv6 アドレス範囲は、現在、ネームド ロケーションに含めることができません。IPv6 address ranges cannot currently be included in a named location. これは、IPv6 範囲を条件付きアクセス ポリシーから除外できないことを意味します。This means IPv6 ranges cannot be excluded from a Conditional Access policy.

  • 信頼できる場所としてマークする - 信頼できる場所を示すためにネームド ロケーションに設定できるフラグ。Mark as trusted location - A flag you can set for a named location to indicate a trusted location. 通常、信頼できる場所は、IT 部門が管理するネットワーク領域です。Typically, trusted locations are network areas that are controlled by your IT department. 条件付きアクセスに加え、信頼できるネームド ロケーションは、Azure Identity Protection および Azure AD セキュリティ レポートで誤検出を減らす場合にも使用されます。In addition to Conditional Access, trusted named locations are also used by Azure Identity Protection and Azure AD security reports to reduce false positives.

  • 国/地域 - このオプションを使用すると、1 つ以上の国または地域を選択してネームド ロケーションを定義できます。Countries/Regions - This option enables you to select one or more country or region to define a named location.

  • 不明な領域を含める - IP アドレスによっては、特定の国またはリージョンにマップされないことがあります。Include unknown areas - Some IP addresses are not mapped to a specific country or region. このオプションを使用すると、このような IP アドレスをネームド ロケーションに含めるかどうかを選択できます。This option allows you to choose if these IP addresses should be included in the named location. ネームド ロケーションを使用するポリシーを不明な場所に適用する場合は、この設定を使用します。Use this setting when the policy using the named location should apply to unknown locations.

構成できるネームド ロケーションの数は、Azure AD 内の関連するオブジェクトのサイズによって制約されます。The number of named locations you can configure is constrained by the size of the related object in Azure AD. 次の制限事項に基づいて場所を構成できます。You can configure locations based on of the following limitations:

  • 1 つのネームド ロケーションで、最大 1,200 の IP 範囲。One named location with up to 1200 IP ranges.
  • 最大 90 のネームド ロケーションで、それぞれ 1 つ割り当てられる IP 範囲。A maximum of 90 named locations with one IP range assigned to each of them.

条件付きアクセス ポリシーは、IPv4 と IPv6 のトラフィックに適用されます。Conditional Access policy applies to IPv4 and IPv6 traffic. 現在、ネームド ロケーションでは、IPv6 範囲を構成することはできません。Currently named locations do not allow IPv6 ranges to be configured. この制限により、次の状況が発生します。This limitation causes the following situations:

  • 条件付きアクセス ポリシーで特定の IPv6 範囲を対象にすることはできませんConditional Access policy cannot be targeted to specific IPv6 ranges
  • 条件付きアクセス ポリシーで特定の IPv6 範囲を除外することはできませんConditional Access policy cannot exclude specific IPV6 ranges

「任意の場所」に適用するようにポリシーが構成されている場合は、IPv4 と IPv6 のトラフィックに適用されます。If a policy is configured to apply to “Any location”, it will apply to IPv4 and IPv6 traffic. 指定した国と地域用に構成されたネームド ロケーションでは、IPv4 アドレスのみがサポートされます。Named locations configured for specified countries and regions only support IPv4 addresses. IPv6 トラフィックが含まれるのは、「不明な領域を含める」オプションが選択されている場合のみです。IPv6 traffic is only included if the option to “include unknown areas” selected.

信頼できる IPTrusted IPs

多要素認証サービス設定で組織のローカル イントラネットを表す IP アドレス範囲を構成することもできます。You can also configure IP address ranges representing your organization's local intranet in the multi-factor authentication service settings. この機能を使用すると、最大 50 の IP アドレス範囲を設定できます。This feature enables you to configure up to 50 IP address ranges. IP アドレス範囲は CIDR 形式です。The IP address ranges are in CIDR format. 詳細については、「信頼できる IP」を参照してください。For more information, see Trusted IPs.

信頼できる IP を構成していると、その IP が場所の条件の場所の一覧の中で [MFA の信頼できる IP] として表示されます。If you have Trusted IPs configured, they show up as MFA Trusted IPS in the list of locations for the location condition.

多要素認証をスキップするSkipping multi-factor authentication

多要素認証サービス設定ページでは、 [イントラネット内のフェデレーション ユーザーからのリクエストの場合、多要素認証をスキップする] を選択して、社内のイントラネット ユーザーを識別できます。On the multi-factor authentication service settings page, you can identify corporate intranet users by selecting Skip multi-factor authentication for requests from federated users on my intranet. この設定は、AD FS から発行された社内ネットワークの要求を信頼し、社内ネットワーク上にあるユーザーを識別するために使用する必要があることを示します。This setting indicates that the inside corporate network claim, which is issued by AD FS, should be trusted and used to identify the user as being on the corporate network. 詳細については、「条件付きアクセスを使用した信頼できる IP 機能の有効化」を参照してください。For more information, see Enable the Trusted IPs feature by using Conditional Access.

このオプションをオンにした後、ネームド ロケーションの MFA の信頼できる IP は、このオプションが選択されているすべてのポリシーに適用されます。After checking this option, including the named location MFA Trusted IPS will apply to any policies with this option selected.

セッションの有効期間が長いモバイルおよびデスクトップ アプリケーションの場合、条件付きアクセスは定期的に再評価されます。For mobile and desktop applications, which have long lived session lifetimes, Conditional Access is periodically reevaluated. 既定値は 1 時間に 1 回です。The default is once an hour. 社内ネットワーク要求が最初の認証時にのみ発行される場合、Azure AD に信頼できる IP 範囲の一覧がない場合があります。When the inside corporate network claim is only issued at the time of the initial authentication, Azure AD may not have a list of trusted IP ranges. この場合、ユーザーが社内ネットワーク内にまだいるかどうかを判断することは困難になります。In this case, it is more difficult to determine if the user is still on the corporate network:

  1. ユーザーの IP アドレスが信頼できる IP 範囲のいずれかにあるかどうかを確認します。Check if the user’s IP address is in one of the trusted IP ranges.
  2. ユーザーの IP アドレスの最初の 3 オクテットが初期認証の IP アドレスの最初の 3 オクテットと一致するかどうかを確認します。Check whether the first three octets of the user’s IP address match the first three octets of the IP address of the initial authentication. この IP アドレスが初期認証と比較されるのは、社内ネットワーク要求が最初に発行されて、ユーザーの場所が検証されたときです。The IP address is compared with the initial authentication when the inside corporate network claim was originally issued and the user location was validated.

両方の手順が失敗した場合、ユーザーは信頼された IP 上に存在しなくなったと見なされます。If both steps fail, a user is considered to be no longer on a trusted IP.

場所の条件の構成Location condition configuration

場所の条件を構成するときに、次の項目を区別することができます。When you configure the location condition, you have the option to distinguish between:

  • 任意の場所Any location
  • すべての信頼できる場所All trusted locations
  • 選択された場所Selected locations

場所の条件の構成

任意の場所Any location

既定では、 [任意の場所] を選択すると、インターネット上の任意のアドレスを意味するすべての IP アドレスにポリシーが適用されます。By default, selecting Any location causes a policy to be applied to all IP addresses, which means any address on the Internet. この設定は、ネームド ロケーションとして設定した IP アドレスに限定されません。This setting is not limited to IP addresses you have configured as named location. [任意の場所] を選択した場合でも、特定の場所をポリシーから除外できます。When you select Any location, you can still exclude specific locations from a policy. たとえば、社内ネットワーク以外のすべての場所に範囲を設定するには、信頼できる場所を除くすべての場所にポリシーを適用します。For example, you can apply a policy to all locations except trusted locations to set the scope to all locations, except the corporate network.

すべての信頼できる場所All trusted locations

このオプションの適用対象:This option applies to:

  • 信頼できる場所としてマークされているすべての場所All locations that have been marked as trusted location
  • MFA の信頼できる IP (構成されている場合)MFA Trusted IPS (if configured)

選択された場所Selected locations

このオプションを使用すると、ネームド ロケーションを 1 つ以上選択できます。With this option, you can select one or more named locations. この設定を適用するポリシーの場合、ユーザーは選択したいずれかの場所から接続する必要があります。For a policy with this setting to apply, a user needs to connect from any of the selected locations. [選択] をクリックすると、名前付きネットワークの一覧が表示される名前付きネットワークの選択コントロールが開きます。When you click Select the named network selection control that shows the list of named networks opens. この一覧には、ネットワークの場所が信頼済みとマークされているかどうかも表示されます。The list also shows if the network location has been marked as trusted. MFA の信頼できる IP というネームド ロケーションは、多要素認証サービス設定ページで構成できる IP 設定を含めるために使用されます。The named location called MFA Trusted IPs is used to include the IP settings that can be configured in the multi-factor authentication service setting page.

知っておくべきことWhat you should know

場所が評価されるタイミングWhen is a location evaluated?

条件付きアクセス ポリシーは、次のときに評価されます。Conditional Access policies are evaluated when:

  • ユーザーが Web アプリ、モバイルまたはデスクトップ アプリケーションに最初にサインインするとき。A user initially signs in to a web app, mobile or desktop application.
  • 最新の認証を使用するモバイルまたはデスクトップ アプリケーションが、更新トークンを使用して新しいアクセス トークンを取得するとき。A mobile or desktop application that uses modern authentication, uses a refresh token to acquire a new access token. 既定で、この検査が行われるのは 1 時間に 1 回です。By default this check is once an hour.

つまり、最新の認証を使用しているモバイル アプリケーションおよびデスクトップ アプリケーションの場合、この検査で場所の変更が検出されるのは、ネットワークの場所を変更してから 1 時間以内になります。This check means for mobile and desktop applications using modern authentication, a change in location would be detected within an hour of changing the network location. 最新の認証を使用していないモバイルおよびデスクトップ アプリケーションの場合、ポリシーは、トークン要求ごとに適用されます。For mobile and desktop applications that don’t use modern authentication, the policy is applied on each token request. 要求の頻度は、アプリケーションによって異なります。The frequency of the request can vary based on the application. 同様に、Web アプリケーションについては、ポリシーは、Web アプリケーションへの最初のサインイン時に適用され、セッションの有効期間にわたって有効です。Similarly, for web applications, the policy is applied at initial sign-in and is good for the lifetime of the session at the web application. アプリケーションによってセッションの有効期間が異なるため、ポリシー評価の間隔も異なります。Due to differences in session lifetimes across applications, the time between policy evaluation will also vary. ポリシーは、アプリケーションが新しいサインイン トークンを要求するたびに適用されます。Each time the application requests a new sign-in token, the policy is applied.

既定で、Azure AD は 1 時間ごとにトークンを発行します。By default, Azure AD issues a token on an hourly basis. 社内ネットワークから離れた後、1 時間以内に最新の認証を使用するアプリケーションに対してポリシーが適用されます。After moving off the corporate network, within an hour the policy is enforced for applications using modern authentication.

ユーザーの IP アドレスUser IP address

ポリシー評価で使用される IP アドレスは、ユーザーのパブリック IP アドレスです。The IP address that is used in policy evaluation is the public IP address of the user. プライベート ネットワーク上のデバイスの場合、この IP アドレスはイントラネット上のユーザー デバイスのクライアント IP ではなく、ネットワークがパブリック インターネットに接続するために使用するアドレスです。For devices on a private network, this IP address is not the client IP of the user’s device on the intranet, it is the address used by the network to connect to the public internet.

警告

デバイスが IPv6 アドレスのみを持つ場合、場所の条件を構成することはできません。If your device has only an IPv6 address, configuring the location condition is not supported.

ネームド ロケーションの一括アップロードとダウンロードBulk uploading and downloading of named locations

一括更新でネームド ロケーションを作成または更新する場合は、IP 範囲を含む CSV ファイルをアップロードまたはダウンロードできます。When you create or update named locations, for bulk updates, you can upload or download a CSV file with the IP ranges. アップロードによって、一覧内の IP 範囲がファイルの IP 範囲に置き換えられます。An upload replaces the IP ranges in the list with those from the file. ファイルの各行には、CIDR 形式の IP アドレス範囲が 1 つ含まれています。Each row of the file contains one IP Address range in CIDR format.

クラウド プロキシと VPNCloud proxies and VPNs

クラウドでホストされているプロキシまたは VPN ソリューションを使用する場合、ポリシーの評価中に Azure AD が使用する IP アドレスは、プロキシの IP アドレスです。When you use a cloud hosted proxy or VPN solution, the IP address Azure AD uses while evaluating a policy is the IP address of the proxy. ユーザーのパブリック IP アドレスを含む X-Forwarded-For (XFF) ヘッダーは、信頼できるソースから送信されたという検証が行われないために IP アドレスの偽装方法となることが多く、使用されません。The X-Forwarded-For (XFF) header that contains the user’s public IP address is not used because there is no validation that it comes from a trusted source, so would present a method for faking an IP address.

クラウド プロキシが配置されている場合は、ドメインに参加するデバイスを要求するために使用されるポリシーを使用できます。または AD FS の企業ネットワーク要求を使用できます。When a cloud proxy is in place, a policy that is used to require a domain joined device can be used, or the inside corpnet claim from AD FS.

API のサポートと PowerShellAPI support and PowerShell

ネームド ロケーションや条件付きアクセス ポリシーでは、API と PowerShell はまだサポートされていません。API and PowerShell is not yet supported for named locations, or for Conditional Access policies.

次の手順Next steps