FedRAMP High Impact レベルを満たすように ID アクセス制御を構成する

アクセス制御は、Federal Risk and Authorization Management Program (FedRAMP) High Impact レベルの運用を実現するための主要な部分です。

アクセス制御 (AC) ファミリの制御と制御の強化に関する次の一覧は、Microsoft Entra テナントでの構成が必要になる場合があります。

制御ファミリ	説明
AC-2	アカウント管理
AC-6	最小特権
AC-7	ログオン試行の失敗
AC-8	システム使用通知
AC-10	同時セッション制御
AC-11	セッションのロック
AC-12	セッションの終了
AC-20	外部情報システムの使用

次の表の各行に、制御または制御の強化のための共同責任に対する組織の対応を構築するために役立つ規範的なガイダンスを示します。

構成

FedRAMP コントロール ID と説明	Microsoft Entra のガイダンスとレコメンデーション
AC-2 アカウント管理 組織 (a.) 組織のミッションおよびビジネス機能を支援する [割り当て: 組織が定義した情報システム アカウントの種類] の情報システム アカウントを特定し、選択します。 (b.) 情報システム アカウント用のアカウント マネージャーを割り当てます。 (c.) グループとロールのメンバーシップの条件を確立します。 (d.) 情報システムの許可されているユーザー、グループ、ロール メンバーシップ、各アカウントのアクセスの承認 (つまり特権) と他の属性 (必要に応じて) を指定します。 (e.) 情報システム アカウントを作成する要求について、[割り当て: 組織が定義した個人またはロール] による承認が必要です。 (f.) [割り当て: 組織が定義した手順または条件] に従って、情報システム アカウントの作成、有効化、変更、無効化、削除を行います。 (g.) 情報システム アカウントの使用を監視します。 (h.) アカウント マネージャーに通知します。 (1.) アカウントが不要になった場合。 (2.) ユーザーが終了または移転された場合。さらに (3.) 個人情報システムの使用や Need-to-know が変わった場合。 (i.) 次に基づいて情報システムへのアクセスを認可します。 (1.) 有効なアクセス認可。 (2.) 意図されたシステムの使用。さらに (3.) 組織または関連するミッションおよびビジネス機能によって要求されるその他の特性。 (j.) アカウント管理要件 [FedRAMP 割り当て: 特権アクセスの場合は毎月、非特権アクセスの場合は 6 か月ごと] に準拠するためにアカウントを確認します。さらに (k.) 個人をグループから削除するときに、共有またはグループ アカウントの資格情報 (デプロイする場合) を再発行するプロセスを確立します。	お客様が管理するアカウントに対してアカウント ライフサイクル管理を実装します。 アカウントの使用状況を監視し、アカウント マネージャーにアカウント ライフサイクル イベントを通知します。 特権アクセスの場合は毎月、非特権アクセスの場合は 6 か月ごとに、アカウントがアカウント管理要件に準拠しているかどうかをレビューします。 Microsoft Entra ID を使用して、外部の人事システム、オンプレミスの Active Directory から、またはクラウドで直接、アカウントをプロビジョニングします。 すべてのアカウント ライフサイクル操作は、Microsoft Entra 監査ログ内で監査されます。 Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ソリューションを使用して、ログを収集および分析できます。 または、Azure Event Hubs を使用して、ログをサード パーティ製の SIEM ソリューションと統合し、監視と通知を有効にすることもできます。 アクセス レビューで Microsoft Entra のエンタイトルメント管理を使用して、アカウントのコンプライアンス対応状態を確認します。 アカウントをプロビジョニングする Microsoft Entra のユーザー プロビジョニングにクラウド HR アプリケーションを計画する Microsoft Entra Connect 同期: 同期を理解してカスタマイズする Microsoft Entra ID を使用してユーザーを追加または削除する アカウントを監視する Microsoft Entra 管理センターでアクティビティ レポートを監査する Microsoft Entra データを Microsoft Sentinel に接続する チュートリアル: ログを Azure イベント ハブにストリーム配信する アカウントをレビューする Microsoft Entra エンタイトルメント管理とは Microsoft Entra エンタイトルメント管理でアクセス パッケージのアクセス レビューを作成する Microsoft Entra エンタイトルメント管理でアクセス パッケージのアクセスを確認する リソース Microsoft Entra ID の管理者の役割のアクセス許可 Microsoft Entra ID の動的グループ
AC-2(1) 組織は、情報システム アカウントの管理を支援する自動メカニズムを採用します。	お客様が管理するアカウントの管理をサポートするための自動化されたメカニズムを採用します。 外部の人事システムまたはオンプレミスの Active Directory から、お客様が管理するアカウントの自動プロビジョニングを構成します。 アプリケーションのプロビジョニングをサポートするアプリケーションの場合は、ユーザーがアクセスする必要があるクラウドの SaaS (Software as a Solution) アプリケーションにユーザー ID とロールを自動的に作成するように Microsoft Entra ID を構成します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 アカウントの使用状況を簡単に監視するには、Microsoft Entra ID Protection のログ (危険なユーザー、危険なサインイン、リスクの検出を示す) と監査ログを Microsoft Sentinel または Event Hubs に直接ストリーム配信します。 のプロビジョニング Microsoft Entra のユーザー プロビジョニングにクラウド HR アプリケーションを計画する Microsoft Entra Connect 同期: 同期を理解してカスタマイズする Microsoft Entra ID での SaaS アプリ ユーザー プロビジョニングの自動化とは Microsoft Entra ID で使用する SaaS アプリの統合に関するチュートリアル 監視と監査 リスクの調査 Microsoft Entra 管理センターでアクティビティ レポートを監査する Microsoft Sentinel とは Microsoft Sentinel: Microsoft Entra ID からデータを接続する チュートリアル: Microsoft Entra ログを Azure イベント ハブにストリーム配信する
AC-2(2) 情報システムは、[FedRAMP 割り当て: 最後の使用から 24 時間] の後に一時的および緊急アカウントに対して自動的に [FedRAMP 選択: 無効] を行います。 AC-02(3) 情報システムは、[FedRAMP 割り当て: ユーザー アカウントでは 35 日間] の後、非アクティブなアカウントを自動的に無効にします。 AC-2 (3) 追加の FedRAMP 要件とガイダンス: 要件: サービス プロバイダーは、非ユーザー アカウント (デバイスに関連付けられているアカウントなど) の期間を定義します。 期間は JAB/AO によって承認され、受け入れられます。 ユーザー管理がサービスの機能である場合は、コンシューマー ユーザーのアクティビティのレポートを利用できるようにする必要があります。	自動化されたメカニズムを採用して、一時アカウントと緊急アカウントは最後に使用してから 24 時間後に、お客様が管理するすべてのアカウントは非アクティブな状態が 35 日間続いた後で、自動的に削除または無効にします。 Microsoft Graph と Microsoft Graph PowerShell を使用して、アカウント管理の自動化を実装します。 サインイン アクティビティを監視するには Microsoft Graph を、必要な期間内にアカウントでアクションを実行するには Microsoft Graph PowerShell を使用します。 非アクティブ状態を判断する Microsoft Entra ID で非アクティブなユーザー アカウントを管理する Microsoft Entra ID で古くなったデバイスを管理する アカウントを削除または無効にする Microsoft Graph でのユーザーの操作 ユーザーの取得 ユーザーの更新 ユーザーの削除 Microsoft Graph でのデバイスの操作 デバイスの取得 デバイスの更新 デバイスの削除 Microsoft Graph PowerShell のドキュメント を参照してください Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[FedRAMP 割り当て: 組織およびサービス プロバイダー システムの所有者] に通知します。	お客様が管理するアカウントの管理ライフサイクルのために、自動化された監査および通知システムを実装します。 すべてのアカウント ライフサイクル操作 (アカウントの作成、変更、有効化、無効化、削除の各アクションなど) は、Azure 監査ログ内で監査されます。 通知を支援するために、Microsoft Sentinel または Event Hubs にログを直接ストリーム配信できます。 Audit Microsoft Entra 管理センターでアクティビティ レポートを監査する Microsoft Sentinel: Microsoft Entra ID からデータを接続する Notification Microsoft Sentinel とは チュートリアル: Microsoft Entra ログを Azure イベント ハブにストリーム配信する
AC-2(5) 組織は、[FedRAMP 割り当て: 非アクティブが 15 分を超えると予想される] の場合に、ユーザーをログアウトさせる必要があります。 AC-2 (5) 追加の FedRAMP 要件とガイダンス: ガイダンス: AC-12よりも短い時間枠を使用する必要があります	非アクティブ状態が 15 分間続いたらデバイスをログアウトさせる機能を実装します。 準拠デバイスへのアクセスを制限する条件付きアクセス ポリシーを使用することにより、デバイスのロックを実装します。 Intune などのモバイル デバイス管理 (MDM) ソリューションを使用して OS レベルでデバイスのロックを強制するように、デバイスのポリシー設定を構成します。 エンドポイント マネージャーまたはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 アンマネージド デバイスの場合は、ユーザーに再認証を強制するように、[サインインの頻度] 設定を構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります ユーザー サインインの頻度 MDM ポリシー 非アクティブな状態がどれだけ続いたら (分単位)、画面がロックされ、ロックを解除するためにパスワードの入力が求められるようになるかをデバイスに構成します (Android、iOS、Windows 10)。
AC-2(7) 組織: (a.) 許可される情報システム アカウントと特権をロールに編成するロールベースのアクセス スキームに従って、特権ユーザー アカウントを確立して管理します。 (b) 特権ロールの割り当てを監視します。さらに (c) 特権ロールの割り当てが適切でなくなった場合、[FedRAMP 割り当て: 組織が指定した期間内にアクセスの無効化または取り消し] を行います。	お客様が管理するアカウントのロールベースのアクセス スキームに従って、特権ロールの割り当てを管理および監視します。 適切でなくなったアカウントの特権アクセスは無効化するか、取り消します。 ロールの割り当てを監視し、適切でなくなったときにロールの割り当てを削除するために、Microsoft Entra ID の特権ロールのアクセス レビューで Microsoft Entra Privileged Identity Management を実装します。 監視を支援するために、Microsoft Sentinel または Event Hubs に監査ログを直接ストリーム配信できます。 管理 Microsoft Entra Privileged Identity Management とは アクティブ化の最大期間 モニター Privileged Identity Management で Microsoft Entra ロールのアクセス レビューを作成する Privileged Identity Management で Microsoft Entra ロールの監査履歴を表示する Microsoft Entra 管理センターでアクティビティ レポートを監査する Microsoft Sentinel とは Microsoft Entra ID からデータを接続する チュートリアル: Microsoft Entra ログを Azure イベント ハブにストリーム配信する
AC-2(11) 情報システムは、[割り当て: 組織が定義する情報システム アカウント] に対して [割り当て: 組織が定義する状況および使用条件] を適用します。	お客様が定義した条件や状況が満たされるように、お客様が管理するアカウントの使用を強制します。 ユーザーとデバイスの間でアクセス制御の決定を適用するする条件付きアクセス ポリシーを作成します。 条件付きアクセス 条件付きアクセス ポリシーを作成する 条件付きアクセスとは
AC-2(12) 組織: (a) 情報システム アカウントの [割り当て: 組織が定義する特殊な使用方法] を監視します。さらに (b) 情報システム アカウントの特殊な使用法を [FedRAMP 割り当て: 組織内の ISSO および同様のロール以上] に報告します。 AC-2 (12) (a) および AC-2 (12) (b) 追加の FedRAMP 要件とガイダンス: 特権アカウントの場合に必要です。	特殊な使用方法のための特権アクセスを持つ、お客様が管理するアカウントを監視および報告します。 特殊な使用方法の監視を支援するために、Identity Protection のログ (危険なユーザー、危険なサインイン、リスク検出を示す) と監査ログ (特権割り当てとの関連付けを容易にする) を Microsoft Sentinel などの SIEM ソリューションに直接ストリーム配信できます。 Event Hubs を使用して、ログをサードパーティ製の SIEM ソリューションと統合することもできます。 Identity Protection Microsoft Entra ID Protection とは リスクの調査 Microsoft Entra ID Protection の通知 アカウントを監視する Microsoft Sentinel とは Microsoft Entra 管理センターでアクティビティ レポートを監査する Microsoft Entra データを Microsoft Sentinel に接続する チュートリアル: ログを Azure イベント ハブにストリーム配信する
AC-2(13) 組織は、リスクの検出の [FedRAMP 割り当て: 1 時間] において重大なリスクをもたらすユーザーのアカウントを無効にします。	1 時間以内に重大なリスクをもたらす、顧客が管理するアカウントのユーザーを無効にします。 Microsoft Entra ID Protection で、しきい値を [高] に設定してユーザー リスク ポリシーを構成し、有効にします。 危険なユーザーや危険なサインインに対するアクセスをブロックする条件付きアクセス ポリシーを作成します。ユーザーがその後のサインイン試行を自己修復およびブロック解除できるように、リスク ポリシーを構成します。 Identity Protection Microsoft Entra ID Protection とは 条件付きアクセス 条件付きアクセスとは 条件付きアクセス ポリシーを作成する 条件付きアクセス:ユーザー リスクベースの条件付きアクセス 条件付きアクセス:サインイン リスクベースの条件付きアクセス リスク ポリシーを使用した自己修復
AC-6(7) 組織: (a.) [FedRAMP 割り当て: 特権を持つすべてのユーザー] に割り当てられた特権を [FedRAMP 割り当て: 少なくとも年に 1 回] 確認して、そのような特権の必要性を検証します。さらに (b.) 組織のミッションおよびビジネス ニーズを正しく反映するように、必要に応じて特権の再割り当てまたは削除を行います。	特権アクセスを持つすべてのユーザーを毎年レビューおよび検証します。 組織のミッションとビジネス要件に合わせて、特権を再割り当て (または必要に応じて削除) するようにします。 特権アクセスが必要かどうかを確認するには、特権ユーザーのアクセス レビューで Microsoft Entra のエンタイトルメント管理を使用します。 アクセス レビュー Microsoft Entra エンタイトルメント管理とは Privileged Identity Management で Microsoft Entra ロールのアクセス レビューを作成する Microsoft Entra エンタイトルメント管理でアクセス パッケージのアクセスを確認する
AC-7 ログイン試行の失敗 組織: (a.) [FedRAMP 割り当て: 15分] の間にユーザーによる連続した無効なログオン試行の制限として [FedRAMP 割り当て:3 回以下] を適用します。さらに (b.) 試行の失敗回数の上限を超えると、[[FedRAMP 割り当て: 3 時間以上または管理者によってロックが解除されるまで] アカウントまたはノードのロック、および [割り当て: 組織が定義した遅延アルゴリズム] に従った次回のログイン プロンプトの遅延] を自動的に行います。	お客様がデプロイしたリソースに対するログイン試行の失敗は 15 分以内に連続して 3 回以下という制限を適用します。 最低 3 時間、または管理者によってロック解除されるまでアカウントをロックします。 スマート ロックアウトのカスタム設定を有効にします。 これらの要件を実装するために、ロックアウトのしきい値とロックアウト期間 (秒単位) を構成します。 スマート ロックアウト Microsoft Entra スマート ロックアウトを使用してユーザー アカウントを攻撃から保護する Microsoft Entra スマート ロックアウト値の管理
AC-8 システム使用通知 情報システム: (a.) 該当する連邦法、大統領令、指令、ポリシー、規制、標準、ガイダンスと矛盾しないプライバシーおよびセキュリティ通知を提供するシステムに対してアクセス権を付与する前に、ユーザーに [割り当て: 組織が定義したシステム使用通知メッセージまたはバナー (FedRAMP 割り当て: 追加の要件およびガイダンスを参照)] を表示します。さらに、以下を示します: (1.) ユーザーが米国政府の情報システムにアクセスしています。 (2.) 情報システムの使用状況を監視し、記録し、監査の対象とすることができます。 (3.) 情報システムの認可されていない使用は禁止され、刑事および民事上の罰則の対象となります。さらに (4.) 情報システムの使用は、監視および記録に同意することを示します。 (b.) ユーザーが使用条件に同意し、情報システムにログオンまたはさらにアクセスするための明示的なアクションを実行するまで、通知メッセージまたはバナーを画面に表示し続けます。さらに、 (c.) パブリックにアクセス可能なシステムの場合: (1.) 追加のアクセスを許可する前に、システムの使用情報 [割り当て: 組織が定義した条件 (FedRAMP 割り当て: 追加の要件とガイダンスを参照)] を表示します。 (2.) 一般的に監視、記録、または監査を禁止するシステムでのプライバシーの尊重と矛盾しないこれらの活動への参照 (存在する場合) を表示します。さらに (3.) システムの認可された使用の説明を含みます。 AC-8 追加の FedRAMP 要件とガイダンス: 要件: サービス プロバイダーは、システム使用通知コントロールを必要とするクラウド環境の要素を決定する必要があります。 システム使用通知を必要とするクラウド環境の要素は、JAB/AO によって承認され、受け入れられます。 要件: サービス プロバイダーは、システム使用通知の検証方法を決定し、チェックの適切な周期性を提供する必要があります。 システム使用通知の検証と周期性は、JAB/AO によって承認され、受け入れられます。 ガイダンス: 構成基準チェックの一部として実行する場合は、チェックが行われ、チェックの合格 (または不合格) となる設定が必要な項目の割合を指定できます。 要件: 構成基準チェックの一部として実行されない場合は、検証の結果を提供する方法とサービス プロバイダーによる検証の必要な周期性に関する契約を文書化する必要があります。 結果の検証方法に関する文書化された契約は、JAB/AO によって承認され、受け入れられます。	情報システムへのアクセス権を付与する前に、プライバシーとセキュリティに関する通知を表示して、ユーザーの確認を求めます。 Microsoft Entra ID を使用すると、アクセス権を付与する前に、受信確認を要求して記録するすべてのアプリに対して通知メッセージやバナー メッセージを配信することができます。 これらの利用規約ポリシーは、特定のユーザー (メンバーまたはゲスト) を対象とするように細かく設定できます。 また、条件付きアクセス ポリシーを使用して、アプリケーションごとにカスタマイズすることもできます。 使用条件 Microsoft Entra の使用条件 同意したユーザーと拒否したユーザーのレポートの表示
AC-10 同時セッション制御 情報システムは、[割り当て: 組織が定義したアカウントやアカウントの種類] ごとの同時セッションの数を [FedRAMP 割り当て: 特権アクセスの場合は 3 つのセッション、非特権アクセスの場合は 2 つのセッション] に制限します。	同時セッションを、特権アクセスの場合は 3 つのセッション、非特権アクセスの場合は 2 つに制限します。 現在、ユーザーは複数のデバイスからときには同時に接続します。 同時実行セッションを制限すると、ユーザー エクスペリエンスが劣化し、セキュリティの価値が制限されます。 この制御の背後にある意図に対処するためのより優れた方法は、ゼロ トラスト セキュリティ対策を採用することです。 条件は、セッションが作成される前に明示的に検証され、セッションが終了するまで継続的に検証されます。 さらに、次の補完的な制御を使用します。 条件付きアクセス ポリシーを使用して、準拠デバイスへのアクセスを制限します。 Intune などの MDM ソリューションを使用して、OS レベルでユーザー サインインの制限を適用するように、デバイスのポリシー設定を構成します。 エンドポイント マネージャーまたはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 Privileged Identity Management を使用して、特権アカウントをさらに制限および制御します。 無効なサインイン試行に対するスマート アカウント ロックアウトを構成します。 実装ガイダンス ゼロ トラスト ゼロ トラストによる ID のセキュリティ保護 Microsoft Entra ID での継続的アクセス評価 条件付きアクセス Microsoft Entra ID の条件付きアクセスとは デバイスは準拠としてマーク済みである必要があります ユーザー サインインの頻度 デバイスのポリシー その他のスマート カードのグループ ポリシー設定とレジストリ キー Microsoft Endpoint Manager の概要 リソース Microsoft Entra Privileged Identity Management とは Microsoft Entra スマート ロックアウトを使用してユーザー アカウントを攻撃から保護する セッションの再評価とリスク軽減のガイダンスの詳細については、AC-12 を参照してください。
AC-11 セッション ロック 情報システム: (a) 非アクティブな状態が [FedRAMP 割り当て: 15 分] 続いた後、またはユーザーから要求を受信したときに、セッションのロックを開始することでシステムに対する以降のアクセスを防ぎます。さらに (b) ユーザーが確立済みの ID および認証手順を使用してアクセスを再確立するまで、セッションのロックを継続します。 AC-11(1) 情報システムは、セッションのロックを使用して、以前はディスプレイに表示されていた情報 (パブリックに閲覧可能な画像を含む) を非表示にします。	非アクティブな状態が 15 分間続いた後、またはユーザーからの要求を受け取ったときのセッションのロックを実装します。 ユーザーが再度認証されるまでセッションのロックを保持します。 セッションのロックの開始時に、以前に表示されていた情報を非表示にします。 準拠デバイスへのアクセスを制限するために、条件付きアクセス ポリシーを使用して、デバイスのロックを実装します。 Intune などの MDM ソリューションを使用して OS レベルでデバイスのロックを強制するように、デバイスのポリシー設定を構成します。 エンドポイント マネージャーまたはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 アンマネージド デバイスの場合は、ユーザーに再認証を強制するように、[サインインの頻度] 設定を構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります ユーザー サインインの頻度 MDM ポリシー 非アクティブな状態がどれだけ続いたら (分単位) 画面がロックされるかをデバイスに構成します (Android、iOS、Windows 10)。
AC-12 セッションの終了 情報システムは、[割り当て: 組織が定義した、セッションの切断を必要とする条件またはトリガー イベント] の発生後に、ユーザー セッションを自動的に終了します。	組織が定義した条件またはトリガー イベントが発生したときに、ユーザー セッションを自動的に終了します。 リスクベースの条件付きアクセスや継続的アクセスの評価などの Microsoft Entra の機能を使用したユーザー セッションの自動再評価を実装します。 非アクティブ条件は、AC-11 で説明されているように、デバイス レベルで実装できます。 リソース サインイン リスクベースの条件付きアクセス ユーザー リスクベースの条件付きアクセス 継続的アクセス評価
AC-12(1) 情報システム: (a.) [割り当て: 組織が定義した情報リソース] へのアクセス権を得るために認証が使用されるときに毎回実行される、ユーザーが開始した通信セッションのログアウト機能を提供します。さらに (b.) 認証済みの通信セッションの信頼できる終了を示す明示的なログアウト メッセージをユーザーに表示します。 AC-8 追加の FedRAMP 要件とガイダンス: ガイダンス: ログアウト機能のテスト (OTG-SESS-006) ログアウト機能のテスト	すべてのセッションにログアウト機能を提供し、明示的なログアウト メッセージを表示します。 Microsoft Entra ID で表示されるすべての Web インターフェイスは、ユーザーが開始した通信セッションにログアウト機能を提供します。 SAML アプリケーションが Microsoft Entra ID に統合されている場合は、シングル サインアウトを実装します。 ログアウト機能 ユーザーが [すべてからサインアウトする] を選択すると、現在発行されているすべてのトークンが取り消されます。 メッセージの表示 Microsoft Entra ID では、ユーザーが開始したログアウトの後にメッセージが自動的に表示されます。 リソース [自分のサインイン] ページから最近のサインイン アクティビティを表示および検索する シングル サインアウトの SAML プロトコル
AC-20 外部情報システムの利用 組織は、外部の情報システムを所有、運用、保守する他の組織との間で確立した信頼関係と矛盾しないご契約条件を規定し、認可された個人が以下を行えるようにします: (a.) 情報システムへ外部情報システムからアクセスする。さらに (b.) 外部情報システムを使用して、組織が管理する情報を処理、保存、または送信します。 AC-20(1) 組織が以下を行う場合に限り、組織は、認可された個人が外部情報システムを使用して情報システムにアクセスしたり、組織が管理する情報を処理、保存、または送信することを許可します。 (a.) 組織の情報セキュリティ ポリシーとセキュリティ プランで指定されているとおりに、外部システムで必要なセキュリティ制御の実装を検証します。または (b.) 外部情報システムをホストする組織エンティティとの承認された情報システムの接続または処理に関する契約を保持します。	アンマネージド デバイスや外部ネットワークなどの外部情報システムからお客様がデプロイしたリソースに、認可された個人がアクセスできるようにするための利用規約を確立します。 外部システムからリソースにアクセスする認可されたユーザーに、利用規約への同意を要求します。 外部システムからのアクセスを制限する条件付きアクセス ポリシーを実装します。 条件付きアクセス ポリシーは、Defender for Cloud Apps と統合して、外部システムからクラウドとオンプレミスのアプリケーションの制御を提供することもできます。 Intune のモバイル アプリケーション管理では、カスタム アプリやストア アプリなどのアプリケーション レベルで、外部システムとやり取りするマネージド デバイスから組織のデータを保護できます。 たとえば、クラウド サービスへのアクセスです。 組織で所有しているデバイスと個人のデバイスでアプリの管理を使用できます。 使用条件 使用条件: Microsoft Entra ID 条件付きアクセス デバイスは準拠としてマーク済みである必要があります 条件付きアクセス ポリシーの条件: デバイスの状態 (プレビュー) Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御での保護 Microsoft Entra 条件付きアクセスの場所の条件 MDM Microsoft Intune とは Defender for Cloud Apps とは Microsoft Intune でのアプリの管理とは リソース オンプレミス アプリと Defender for Cloud Apps との統合

次のステップ

• FedRAMP コンプライアンスの概要
• FedRAMP High Impact レベルを満たすように識別と認証の制御を構成する
• FedRAMP High Impact レベルを満たすようにその他の制御を構成する