条件付きアクセスとはWhat is Conditional Access?

現在のセキュリティ境界は組織のネットワークの外にまで広がり、ユーザーとデバイスの ID が境界の中に含まれるようになっています。The modern security perimeter now extends beyond an organization's network to include user and device identity. 組織では、アクセス制御に関する決定を行う過程で、これらの ID シグナルを利用できます。Organizations can utilize these identity signals as part of their access control decisions.

条件付きアクセスは、Azure Active Directory で使用されるツールです。このツールによって、シグナルをまとめて、決定を行い、組織のポリシーを適用することができます。Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。Conditional Access is at the heart of the new identity driven control plane.

概念的な条件付きシグナルと適用決定

条件付きアクセス ポリシーは、簡単に言えば、ユーザーがリソースにアクセスする場合、ユーザーはアクションを完了する必要があるという if-then ステートメントです。Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. 例:給与管理者は、給与処理アプリケーションにアクセスする必要があります。アクセスには多要素認証を実行することが要求されます。Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

管理者が直面している 2 つの主な目標は次のとおりです。Administrators are faced with two primary goals:

  • 場所や時間を問わず、常にユーザーの生産性を高められるようにすることEmpower users to be productive wherever and whenever
  • 組織の資産を保護することProtect the organization's assets

条件付きアクセス ポリシーを使用すると、必要な場合は適切なアクセス制御を適用して組織のセキュリティを維持し、必要でない場合はユーザーの邪魔にならないようにすることができます。By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user’s way when not needed.

概念的な条件付きアクセスのプロセス フロー

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。Conditional Access policies are enforced after the first-factor authentication has been completed. 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

一般的なシグナルCommon signals

ポリシーに基づく決定を行うときに、条件付きアクセスで考慮することができる一般的なシグナルには、次のようなシグナルがあります。Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • ユーザーまたはグループ メンバーシップUser or group membership
    • 特定のユーザーとグループをポリシーの対象にすることができるため、管理者はアクセスをきめ細かく制御できます。Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • IP の場所に関する情報IP Location information
    • 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • 管理者は、国全体の IP 範囲を指定して、その範囲からのトラフィックをブロックまたは許可することができます。Administrators can specify entire countries IP ranges to block or allow traffic from.
  • DeviceDevice
    • 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ApplicationApplication
    • 特定のアプリケーションにアクセスしようとするユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。Users attempting to access specific applications can trigger different Conditional Access policies.
  • リアルタイムでの計算されたリスクの検出Real-time and calculated risk detection
    • シグナルと Azure AD Identity Protection の統合により、条件付きアクセス ポリシーで危険なサインイン動作を特定できます。Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. その上で、ポリシーでユーザーにパスワード変更や多要素認証の実行を強制してリスク レベルを下げることや、管理者が手動で対処するまでユーザーのアクセスをブロックすることができます。Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • ユーザーのアプリケーションへのアクセスとセッションをリアルタイムで監視および制御できるようにします。クラウド環境へのアクセスと、クラウド環境で実行されるアクティビティの可視性を高めて制御を強化できます。Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

一般的な決定Common decisions

  • アクセスのブロックBlock access
    • 最も制限の厳しい決定Most restrictive decision
  • アクセス権の付与Grant access
    • 最も制限が弱い決定でも、次のオプションのうち 1 つ以上を要求することができます。Least restrictive decision, can still require one or more of the following options:
      • 多要素認証が必要ですRequire multi-factor authentication
      • デバイスは準拠としてマーク済みである必要があるRequire device to be marked as compliant
      • Hybrid Azure AD 参加済みデバイスが必要Require Hybrid Azure AD joined device
      • 承認済みクライアント アプリを必須にするRequire approved client app
      • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

一般的に適用されるポリシーCommonly applied policies

多くの組織には、次のような一般的なアクセスの問題があり、それらに対して条件付きアクセス ポリシーが役に立ちます。Many organizations have common access concerns that Conditional Access policies can help with such as:

  • 管理者の役割を持つユーザーに多要素認証を要求するRequiring multi-factor authentication for users with administrative roles
  • Azure 管理タスクに対して多要素認証を要求するRequiring multi-factor authentication for Azure management tasks
  • レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックするBlocking sign-ins for users attempting to use legacy authentication protocols
  • Azure Multi-Factor Authentication の登録に信頼できる場所を要求するRequiring trusted locations for Azure Multi-Factor Authentication registration
  • 特定の場所からのアクセスをブロックまたは許可するBlocking or granting access from specific locations
  • リスクの高いサインイン動作をブロックするBlocking risky sign-in behaviors
  • 特定のアプリケーションに対して、組織のマネージド デバイスを必要とするRequiring organization-managed devices for specific applications

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。Using this feature requires an Azure AD Premium P1 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Microsoft 365 Business ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

次の手順Next steps

条件付きアクセス ポリシーを 1 つずつ作成するBuilding a Conditional Access policy piece by piece

お使いの環境に条件付きアクセスを実装する方法については、「Azure Active Directory の条件付きアクセスの展開を計画する」をご覧ください。To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.

Identity Protection について学ぶLearn about Identity Protection

Microsoft Cloud App Security について学ぶLearn about Microsoft Cloud App Security

Microsoft Intune について学ぶLearn about Microsoft Intune