条件付きアクセスとはWhat is Conditional Access?

セキュリティは、クラウドを使用する組織の最大の懸念事項です。Security is a top concern for organizations using the cloud. クラウド セキュリティの重要な側面は、クラウド リソースを管理する際の ID とアクセスです。A key aspect of cloud security is identity and access when it comes to managing your cloud resources. モバイルを重視したクラウド中心の世界では、ユーザーはさまざまなデバイスやアプリを使用してどこからでも組織のリソースにアクセスできます。In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. このため、だれがリソースにアクセスできるかに重点を置くだけでは十分ではなくなっています。As a result of this, just focusing on who can access a resource is not sufficient anymore. セキュリティと生産性のバランスをうまく取るためには、リソースへのアクセス方法も考慮してアクセスの制御を決定する必要があります。To master the balance between security and productivity, you also need to factor how a resource is accessed into an access control decision. Azure Active Directory (Azure AD) の条件付きアクセスを使用すると、この要件に対処することができます。With Azure Active Directory (Azure AD) Conditional Access, you can address this requirement. 条件付きアクセスは、Azure Active Directory の機能です。Conditional Access is a capability of Azure Active Directory. 条件付きアクセスを使用すると、クラウド アプリへのアクセスを許可するかどうかの判断を各種の条件に基づいて自動的に行うアクセスの制御を実装できます。With Conditional Access, you can implement automated access control decisions for accessing your cloud apps that are based on conditions.

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。Conditional Access policies are enforced after the first-factor authentication has been completed. つまり、条件付きアクセスは、サービス拒否 (DoS) 攻撃などのシナリオの防御の最前線を意図したものではありませんが、これらのイベントのシグナル (サインインのリスク レベル、要求の場所など) を利用してアクセスを判別できます。Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

コントロール

この記事では、Azure AD の条件付きアクセスの概念的な概要について説明します。This article provides you with a conceptual overview of Conditional Access in Azure AD.

一般的なシナリオCommon scenarios

モバイル ファースト、クラウド ファーストの世界で、Azure Active Directory を使用してデバイス、アプリ、およびサービスにどこからでもサインオンできます。In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. デバイス (BYOD を含みます) や企業ネットワーク外での作業、サードパーティが提供する SaaS アプリの急増によって、皆さんは次の 2 つの対立する目標を達成することを迫られています。With the proliferation of devices (including BYOD), work off corporate networks, and third-party SaaS apps, you are faced with two opposing goals:

  • 場所や時間を問わず、常にユーザーの生産性を高められるようにすることEmpower users to be productive wherever and whenever
  • 企業の資産を常に保護することProtect the corporate assets at any time

条件付きアクセス ポリシーを使用すると、必要な条件下で適切なアクセスの制御を適用できます。By using Conditional Access policies, you can apply the right access controls under the required conditions. Azure AD の条件付きアクセスでは、必要なときにセキュリティを強化し、必要でない場合にはユーザーに干渉しないようにすることができます。Azure AD Conditional Access provides you with added security when needed and stays out of your user’s way when it isn’t.

条件付きアクセスが役立ついくつかの一般的なアクセスの問題を次に示します。Following are some common access concerns that Conditional Access can help you with:

  • サインイン リスク :Azure AD Identity Protection では、サインイン リスクを検出します。Sign-in risk: Azure AD Identity Protection detects sign-in risks. 検出されたサインイン リスクが悪意のあるユーザーを示している場合、どのようにアクセスを制限しますか。How do you restrict access if a detected sign-in risk indicates a bad actor? 正当なユーザーによってサインインが実行されたことを示す、より強力な証拠が必要になったとしたら、どうすればよいのでしょうか。What if you would like to get stronger evidence that a sign-in was performed by the legitimate user? 特定のユーザーをアプリにアクセスできないようブロックして差し支えないほどのきわめて不審な点がある場合は、どうしますか。What if your doubts are strong enough to even block specific users from accessing an app?
  • ネットワークの場所 :Azure AD はどこからでもアクセスできます。Network location: Azure AD is accessible from anywhere. IT 部門の管理下にないネットワークの場所からアクセスが試行された場合はどうしますか。What if an access attempt is performed from a network location that is not under the control of your IT department? ユーザー名とパスワードの組み合わせが、企業ネットワークからのアクセスを試行するうえでの十分な身元証明になることがあります。A username and password combination might be good enough as proof of identity for access attempts from your corporate network. 他の予期しない国または地域から開始されたアクセス試行に対してより強力な身元証明が必要な場合はどうしますか。What if you demand a stronger proof of identity for access attempts that are initiated from other unexpected countries or regions of the world? 特定の場所からのアクセス試行をブロックする必要がある場合はどうしますか。What if you even want to block access attempts from certain locations?
  • デバイスの管理 :Azure AD では、ユーザーはモバイル デバイスと個人デバイスを含むさまざまなデバイスからクラウド アプリにアクセスできます。Device management: In Azure AD, users can access cloud apps from a broad range of devices including mobile and also personal devices. IT 部門によって管理されているデバイスによってのみアクセスを試行できるようにする必要がある場合はどうしますか。What if you demand that access attempts should only be performed with devices that are managed by your IT department? 環境内のクラウド アプリで特定の種類のデバイスによるアクセスをブロックする必要がある場合はどうしますか。What if you even want to block certain device types from accessing cloud apps in your environment?
  • クライアント アプリケーション :現在、Web ベースのアプリ、モバイル アプリ、デスクトップ アプリなどのさまざまな種類のアプリを使用して多くのクラウド アプリにアクセスできます。Client application: Today, you can access many cloud apps using different app types such as web-based apps, mobile apps, or desktop apps. 既知の問題の原因となるクライアント アプリの種類を使用してアクセス試行が実行された場合はどうしますか。What if an access attempt is performed using a client app type that causes known issues? 特定の種類のアプリについて IT 部門が管理するデバイスが必要な場合はどうしますか。What if you require a device that is managed by your IT department for certain app types?

これらの質問と関連する回答は、Azure AD の条件付きアクセスの一般的なアクセス シナリオを表します。These questions and the related answers represent common access scenarios for Azure AD Conditional Access. 条件付きアクセスは、ポリシー ベースのアプローチを使用してアクセス シナリオを処理できるようにする Azure Active Directory の機能です。Conditional Access is a capability of Azure Active Directory that enables you to handle access scenarios using a policy-based approach.

条件付きアクセス ポリシーConditional Access policies

条件付きアクセス ポリシーは、次のパターンを使用したアクセス シナリオの定義です。A Conditional Access policy is a definition of an access scenario using the following pattern:

コントロール

When this happens (これが発生した場合は) では、ポリシーをトリガーする理由を定義します。When this happens defines the reason for triggering your policy. この理由は、満たされている条件のグループによって特徴付けられます。This reason is characterized by a group of conditions that have been satisfied. Azure AD の条件付きアクセスでは、2 つの割り当て条件が特別な役割を果たします。In Azure AD Conditional Access, the two assignment conditions play a special role:

  • ユーザー :アクセスを試行するユーザー (Who (だれが) )。Users: The users performing an access attempt (Who).
  • クラウド アプリ :アクセス試行のターゲット (What (何を) )。Cloud apps: The targets of an access attempt (What).

この 2 つの条件は、条件付きアクセス ポリシーでは必須です。These two conditions are mandatory in a Conditional Access policy. 2 つの必須条件に加えて、アクセス試行の実行方法を説明する追加の条件を含めることもできます。In addition to the two mandatory conditions, you can also include additional conditions that describe how the access attempt is performed. 一般的な例として、モバイル デバイスの使用や、企業ネットワーク外の場所があります。Common examples are using mobile devices or locations that are outside your corporate network. 詳しくは、「Azure Active Directory 条件付きアクセスの条件の概要」をご覧ください。For more information, see Conditions in Azure Active Directory Conditional Access.

条件とアクセスの制御の組み合わせによって、条件付きアクセス ポリシーを表現します。The combination of conditions with your access controls represents a Conditional Access policy.

コントロール

Azure AD の条件付きアクセスを使うと、承認されたユーザーがクラウド アプリにどのようにアクセスするかを制御できます。With Azure AD Conditional Access, you can control how authorized users can access your cloud apps. 条件付きアクセス ポリシーの目的は、クラウド アプリへのアクセス試行の実行方法に基づいて、アクセス試行に対して追加のアクセスの制御を適用することです。The objective of a Conditional Access policy is to enforce additional access controls on an access attempt to a cloud app based on how an access attempt is performed.

ポリシーベースのアプローチを使用してクラウド アプリへのアクセスを保護すると、技術的な実装について心配することなく、この記事で概説されている構造を使用して環境のポリシー要件の下書き作成を開始できます。A policy-based approach to protect access to your cloud apps enables you to start drafting the policy requirements for your environment using the structure outlined in this article without worrying about the technical implementation.

Azure AD の条件付きアクセスとフェデレーション認証Azure AD Conditional Access and federated authentication

条件付きアクセス ポリシーは、フェデレーション認証とシームレスに連動します。Conditional Access policies work seamlessly with federated authentication. このサポートには、サポートされているすべての条件と制御の他に、Azure AD レポートを使用した、アクティブなユーザー サインインへのポリシーの適用状況の可視化が含まれます。This support includes all supported conditions and controls and visibility into how policy is applied to active user sign-ins using Azure AD reporting.

"Azure AD を使用したフェデレーション認証" とは、信頼された認証サービスによって Azure AD に対するユーザー認証が処理されることを意味します。Federated authentication with Azure AD means that a trusted authentication service handles user authentication to Azure AD. 信頼された認証サービスとは、たとえば Active Directory フェデレーション サービス (AD FS) などのフェデレーション サービスです。A trusted authentication service is, for example, Active Directory Federation Services (AD FS), or any other federation service. この構成では、プライマリ ユーザー認証がサービスで実行された後、個々のアプリケーションへのサインインに Azure AD が使用されます。In this configuration, primary user authentication is performed at the service and then Azure AD is used to sign into individual applications. ユーザーがアクセスしようとしているアプリケーションへのアクセスが許可される前に、Azure AD の条件付きアクセスが適用されます。Azure AD Conditional Access is applied before access is granted to the application the user is accessing.

構成された条件付きアクセス ポリシーで多要素認証が要求されている場合、Azure AD では既定で Azure MFA が使用されます。When the configured Conditional Access policy requires multi-factor authentication, Azure AD defaults to using Azure MFA. フェデレーション サービスを MFA に使用する場合は、PowerShell-SupportsMFA$true に設定することで、MFA が必要なときにフェデレーション サービスにリダイレクトされるよう Azure AD を構成できます。If you use the federation service for MFA, you can configure Azure AD to redirect to the federation service when MFA is needed by setting -SupportsMFA to $true in PowerShell. この設定は、wauth= http://schemas.microsoft.com/claims/multipleauthn を使用して Azure AD によって発行された MFA チャレンジ要求をサポートするフェデレーション認証サービスで機能します。This setting works for federated authentication services that support the MFA challenge request issued by Azure AD using wauth= http://schemas.microsoft.com/claims/multipleauthn.

ユーザーがフェデレーション認証サービスにサインインした後、他のポリシー要件 (デバイス コンプライアンスや承認されたアプリケーションなど) が Azure AD によって処理されます。After the user has signed in to the federated authentication service, Azure AD handles other policy requirements such as device compliance or an approved application.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。Using this feature requires an Azure AD Premium P1 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Microsoft 365 Business ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

次の手順Next steps

お使いの環境に条件付きアクセスを実装する方法については、「Azure Active Directory の条件付きアクセスの展開を計画する」をご覧ください。To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.