条件付きアクセスとは

現在のセキュリティ境界は組織のネットワークの外にまで広がり、ユーザーとデバイスの ID が境界の中に含まれるようになっています。 組織では、アクセス制御に関する決定を行う過程で、これらの ID シグナルを利用できます。

条件付きアクセスは、Azure Active Directory で使用されるツールです。このツールによって、シグナルをまとめて、決定を行い、組織のポリシーを適用することができます。 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。

概念的な条件付きシグナルと適用決定

条件付きアクセス ポリシーは、簡単に言えば、ユーザーがリソースにアクセスする場合、ユーザーはアクションを完了する必要があるという if-then ステートメントです。 例:給与管理者は、給与処理アプリケーションにアクセスする必要があります。アクセスには多要素認証を実行することが要求されます。

管理者が直面している 2 つの主な目標は次のとおりです。

  • 場所や時間を問わず、常にユーザーの生産性を高められるようにすること
  • 組織の資産を保護すること

条件付きアクセス ポリシーを使用すると、必要な場合は適切なアクセス制御を適用して組織のセキュリティを維持し、必要でない場合はユーザーの邪魔にならないようにすることができます。

概念的な条件付きアクセスのプロセス フロー

重要

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。

一般的なシグナル

ポリシーに基づく決定を行うときに、条件付きアクセスで考慮することができる一般的なシグナルには、次のようなシグナルがあります。

  • ユーザーまたはグループ メンバーシップ
    • 特定のユーザーとグループをポリシーの対象にすることができるため、管理者はアクセスをきめ細かく制御できます。
  • IP の場所に関する情報
    • 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。
    • 管理者は、国/地域全体の IP 範囲を指定して、その範囲からのトラフィックをブロックまたは許可することができます。
  • Device
    • 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。
  • Application
    • 特定のアプリケーションにアクセスしようとするユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。
  • リアルタイムでの計算されたリスクの検出
    • シグナルと Azure AD Identity Protection の統合により、条件付きアクセス ポリシーで危険なサインイン動作を特定できます。 その上で、ポリシーでユーザーにパスワード変更や多要素認証の実行を強制してリスク レベルを下げることや、管理者が手動で対処するまでユーザーのアクセスをブロックすることができます。
  • Microsoft Cloud App Security (MCAS)
    • ユーザーのアプリケーションへのアクセスとセッションをリアルタイムで監視および制御できるようにします。クラウド環境へのアクセスと、クラウド環境で実行されるアクティビティの可視性を高めて制御を強化できます。

一般的な決定

  • アクセスのブロック
    • 最も制限の厳しい決定
  • アクセス権の付与
    • 最も制限が弱い決定でも、次のオプションのうち 1 つ以上を要求することができます。
      • 多要素認証が必要です
      • デバイスは準拠としてマーク済みである必要がある
      • ハイブリッド Azure AD 参加済みのデバイスを必要とする
      • 承認済みクライアント アプリを必須にする
      • アプリの保護ポリシーが必要 (プレビュー)

一般的に適用されるポリシー

多くの組織には、次のような一般的なアクセスの問題があり、それらに対して条件付きアクセス ポリシーが役に立ちます

  • 管理者の役割を持つユーザーに多要素認証を要求する
  • Azure 管理タスクに対して多要素認証を要求する
  • レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする
  • Azure AD Multi-Factor Authentication の登録に信頼できる場所を要求する
  • 特定の場所からのアクセスをブロックまたは許可する
  • リスクの高いサインイン動作をブロックする
  • 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする

ライセンスの要件

この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。 要件に対する適切なライセンスを確認するには、「Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。

Microsoft 365 Business Premium ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。

サインイン リスクには、ID 保護が必要です。

次のステップ