条件付きアクセスとは

  • [アーティクル]

現在のセキュリティ境界は組織のネットワーク境界の外にまで広がり、ユーザーとデバイスの ID が含まれるようになっています。 組織は、アクセス制御に関する決定を行う過程で、これらの ID ドリブン シグナルを使用できるようになっています。 Microsoft Entra 条件付きアクセスは、決定のためにシグナルをまとめ、組織のポリシーを適用します。 条件付きアクセスは Microsoft のゼロ トラスト ポリシー エンジンであり、ポリシー適用の決定時にさまざまなソースからのシグナルを考慮します。

条件付きアクセスのシグナルと、組織のポリシーを適用するための決定のコンセプトを示す図。

条件付きアクセスポリシーの最も単純なものは、if-then ステートメントであり、ユーザーは、リソースにアクセスする場合は (if)、アクションを完了する必要があります (then)。 たとえば、ユーザーが Microsoft 365 などのアプリケーションまたはサービスにアクセスする場合、アクセスを取得するために多要素認証を実行する必要があります。

管理者が直面している 2 つの主な目標は次のとおりです。

  • 場所や時間を問わず、ユーザーの生産性を向上させること
  • 組織の資産を保護すること

条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持します。

重要

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。

一般的なシグナル

条件付きアクセスでは、アクセスに関する決定時にさまざまなソースからのシグナルが考慮されます。

条件付きアクセスがゼロ トラスト ポリシー エンジンとして、さまざまなソースのシグナルを集約する様子を示す図。

これらのシグナルには、次のものが含まれます。

  • ユーザーまたはグループ メンバーシップ
    • 特定のユーザーとグループをポリシーの対象にすることができるため、管理者はアクセスをきめ細かく制御できます。
  • IP の場所に関する情報
    • 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。
    • 管理者は、国/地域全体の IP 範囲を指定して、その範囲からのトラフィックをブロックまたは許可することができます。
  • Device
    • 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。
    • デバイスのフィルターを使用して、特権アクセス ワークステーションなどの特定のデバイスを対象にポリシーを設定します。
  • アプリケーション
    • 特定のアプリケーションにアクセスしようとしているユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。
  • リアルタイムでの計算されたリスクの検出
    • シグナルと Microsoft Entra ID Protection との統合により、条件付きアクセス ポリシーで、危険なユーザーやサインイン動作を特定して修復できます。
  • Microsoft Defender for Cloud Apps
    • ユーザーによるアプリケーションへのアクセスとセッションを、リアルタイムで監視および制御できるようにします。 この統合により、クラウド環境へのアクセスと、クラウド環境で実行されるアクティビティの可視性を高めて制御を強化できます。

一般的な決定

  • アクセスのブロック
    • 最も制限の厳しい決定
  • アクセス権の付与
    • 制限が弱い決定でも、次のオプションのうち 1 つ以上を要求することができます。
      • 多要素認証を要求する
      • 認証強度が必要
      • デバイスは準拠としてマーク済みである必要がある
      • Microsoft Entra ハイブリッド参加済みデバイスが必要
      • 承認済みクライアント アプリを必須にする
      • アプリの保護ポリシーを必須にする
      • パスワードの変更を必須とする
      • 利用規約が必須

一般的に適用されるポリシー

多くの組織には、次のような一般的なアクセスの問題があり、それらに対して条件付きアクセス ポリシーが役に立ちます

  • 管理者の役割を持つユーザーに多要素認証を要求する
  • Azure 管理タスクに多要素認証を要求する
  • レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする
  • セキュリティ情報の登録に信頼できる場所を要求する
  • 特定の場所からのアクセスをブロックまたは許可する
  • リスクの高いサインイン動作をブロックする
  • 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする

管理者は、ポリシーを最初から作成することも、ポータルのテンプレート ポリシーを使って作成を開始することもできます。また、Microsoft Graph API も使用できます。

管理者のエクスペリエンス

条件付きアクセス管理者ロールを持つ管理者は、ポリシーを管理できます。

条件付きアクセスは、Microsoft Entra 管理センター[保護]>[条件付きアクセス] にあります。

[Conditional Access overview] (条件付きアクセスの概要) ページのスクリーンショット。

  • [概要] ページには、ポリシーの状態、ユーザー、デバイス、アプリケーションの概要と、一般的なアラートとセキュリティ アラート、推奨事項が表示されます。
  • [Coverage](対象範囲) ページには、過去 7 日間に条件付きアクセス ポリシーの対象範囲であったアプリケーションと、そうでなかったアプリケーションの概要が表示されます。
  • [監視] ページでは、管理者がサインインのグラフを表示できます。このグラフは、ポリシーの対象範囲の潜在的なギャップを確認するためにフィルター処理できます。

[ポリシー] ページの条件付きアクセス ポリシーは、アクター、ターゲット リソース、条件、適用された制御、状態、日付に基づき、管理者がフィルター処理できます。 このフィルター処理機能を使用すると、管理者は構成に基づいて特定のポリシーをすばやく検索できます。

ライセンス要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

Microsoft 365 Business Premium ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。

リスクベースのポリシーでは、P2 ライセンスを必要とする Microsoft Entra ID Protection へのアクセスが必要です。

条件付きアクセス ポリシーと対話するその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。

条件付きアクセスに必要なライセンスの有効期限が切れても、ポリシーが自動的に無効にされたり削除されたりすることはありません。 そのため、お客様は、セキュリティ体制を急激に変更することなく、条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新できなくなります。

セキュリティの既定値は ID 関連の攻撃を防止するのに役立ち、すべての顧客が利用できます。

ゼロ トラスト

この機能は、組織の ID を、ゼロ トラスト アーキテクチャの 3 つの基本原則に従って運用するのに役立ちます。

  • 明示的に検証する
  • 最小特権を使う
  • 侵害を想定する

ゼロ トラストや、組織で基本原則に従うためのその他の方法について、詳しくは「ゼロトラスト ガイダンス センター」を参照してください。

次のステップ