Azure Active Directory を使用して Microsoft 365 の ID とアクセスを管理する

完了

最新のセキュリティ境界は、組織のネットワークを超えて拡張され、ユーザーとデバイスの ID が含まれるまで拡張されています。 組織は、アクセス制御の決定の一環として、これらの ID シグナルを利用できます。 Microsoft 365 では、Azure AD条件付きアクセスを使用して、組織のすべての資産とリソースへのアクセスと制御を管理します。

条件付きアクセスは、新しい ID 駆動型コントロール プレーンの中心です。 Intune、Microsoft 365、Windows 10 を含む Microsoft 365 サービスにまたがっています。 ユーザーが任意のデバイスや場所から最適な作業を行える一方で、企業データのセキュリティを維持するための詳細なアクセスを提供します。 条件付きアクセスは、ユーザー、デバイス、アプリ、場所を評価し、アクセスを許可する前にリスクを評価することで、機密データを保護するのに役立ちます。 これで、承認されたユーザーとデバイスのみが企業の重要なリソースにアクセスできるようになります。

条件付きアクセス モデルを示す図

条件付きアクセス ポリシーは、最も単純な if-then ステートメントです。 ユーザーがリソースにアクセスする場合は、給与管理者が給与アプリケーションにアクセスし、アクセスするために多要素認証を実行する必要がある場合など、ユーザーはアクションを完了する必要があります。

条件付きアクセス信号の評価

アクセス要求を受信すると、条件付きアクセスは、要求のソースからのシグナル情報を使用して、全体的なリスクを決定するためのコンテキストを構築します。このコンテキストは、セッション要求を許可するか取り消す必要があるかどうかについて、情報に基づいた決定を行うのに使用されます。 ポリシーを決定する際に条件付きアクセスが考慮できる一般的なシグナルは次のとおりです。

信号の種類 ユース ケース
ユーザーまたはグループのメンバーシップ ポリシーは特定のユーザーやグループを対象とすることができます。管理者は、アクセスを詳細に制御できます。
IP ロケーション情報 組織は、ポリシーを決定するときに使用できる信頼できる IP アドレス範囲を作成できます。 また、管理者は国全体の IP 範囲からのトラフィックをブロックまたは許可することができます。
Device 条件付きアクセス ポリシーを適用する場合、特定のプラットフォームのデバイスを持つユーザー、または特定の状態でマークされているユーザーを使用できます。
アプリケーション 特定のアプリケーションにアクセスしようとするユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。
リアルタイムおよび計算されたリスク検出 Azure AD Identity Protection とのシグナル統合により、条件付きアクセス ポリシーは危険なサインイン動作を識別できます。 ポリシーを使用すると、ユーザーにパスワード変更や多要素認証を強制的に実行してリスク レベルを下したり、管理者が手動で操作を実行するまでアクセスがブロックされる可能性があります。
Microsoft Cloud App Security (MCAS) ユーザー アプリケーションのアクセスとセッションをリアルタイムで監視および制御し、クラウド環境内で実行されるアクセスとアクティビティに対する可視性と制御を向上できます。

条件付きアクセスの決定

シグナル要求がリスク評価に合格したと確認したら、組織のセキュリティ体制とリスクリスクに基づいてポリシーを要求に適用します。 条件付きアクセスは、ユーザーが組織のリソースにアクセスできる状況を細かく制御するように構成できる柔軟なポリシーセットを提供します。

条件付きアクセスの決定結果は次の処理です。

  • アクセスのブロック – これは最も制限の厳しい決定です。

  • アクセスを許可 する – 最も制限の厳しい決定。 次の 1 つ以上のチェックが必要な場合があります。

    • 多要素認証を要求する
    • デバイスを準拠としてマークする必要がある
    • ハイブリッド Azure に参加ADを要求する
    • 承認されたクライアント アプリを要求する
    • アプリ保護ポリシーを要求する (プレビュー)

適用されたポリシーによる適用

多くの組織では、条件付きアクセス ポリシーが次のような場合に役立つ一般的な アクセスに関する問題 があります。

  • 管理役割を持つユーザーに対して多要素認証を要求する
  • Azure 管理タスクに多要素認証を要求する
  • レガシ認証プロトコルを使用しようとするユーザーのサインインをブロックする
  • Azure Multi-Factor Authentication の登録に信頼できる場所を要求する
  • 特定の場所からのアクセスをブロックまたは許可する
  • 危険なサインイン動作のブロック
  • 特定のアプリケーションに対して組織で管理されるデバイスを要求する

ID と条件付きアクセスのライセンス

Azure ADは、クラウド環境とオンプレミス環境全体で ID とアクセス管理を一元化するクラウドベースの ID サービスです。 既存のオンプレミスの Active Directory との同期のサポートが組み込まれます。スタンドアロンでも使用できます。 つまり、オンプレミス、クラウド、モバイルなど、すべてのアプリケーションで同じ資格情報を共有できます。

Azure ADには、無料版、Microsoft 365 エディション、プレミアム エディション P1 と P2 など、いくつかのサービス層があります。 プレミアム エディションでは、Microsoft クラウド サブスクリプション のレベルに応じて追加コストが必要になる場合があります。 Azure AD Premium P1 は、Microsoft 365 E5、E3、F3 プランの一部として含まれています。 Azure AD Premium P2 は Microsoft 365 E5 に含まれています。

各層の主な機能の一部を次に示します。

  • 無料 - シングル サインオン、セルフサービスによるパスワード変更、多要素認証、基本セキュリティ/使用状況レポート、および企業間コラボレーションが含まれます
  • Microsoft 365 Apps – すべての無料機能に加えて、ID、セルフサービスによるパスワードのリセット、デバイスの書き戻し (オンプレミスのディレクトリと Azure の間の 2 者間同期) が含まれています。
  • Premium P1 - グループ、場所、デバイスの状態に基づく条件付きアクセス、Microsoft Cloud App Discovery、高度なセキュリティと使用状況レポート、高度なグループ アクセス管理、ハイブリッド ID など、無料、Office 365、およびプレミアム機能が含まれます
  • Premium P2 – 上記のすべてと Azure Identity Protection が含まれます。これには、リスクベースの条件付きアクセス ポリシー、リスクの高いアカウント検出、リスク イベント調査、および Privileged Identity Management (PIM) を含む ID ガバナンス機能が含まれます。

Azure Active Directory は、お客様のニーズに合わせて拡張される機能豊富なサービスです。 すべての機能の一覧は、Active Directory の価格ガイド のページにアクセスして確認 できます。 次の表は、各層の ID とアクセス管理機能のみを備え、コンテンツの要約バージョンを示しています。

機能 Azure AD 無料 Microsoft 365 Premium P1 Premium P2
Azure と Microsoft 365 のシングル サインオン はい はい はい はい
クラウド認証 (パススルー認証、パスワード ハッシュ同期、シームレスな SSO) はい はい はい はい
Azure AD Connect 同期 (オンプレミスのディレクトリを Azure AD に拡張) はい はい はい はい
Self-Serviceユーザーのパスワード変更を変更する はい はい はい はい
Azure AD参加: デスクトップ SSO &管理者 BitLocker 回復 はい はい はい はい
パスワード保護 (グローバル禁止パスワード) はい はい はい はい
多要素認証 はい はい はい はい
クラウド ユーザーのセルフサービス によるパスワードのリセット はい はい はい
デバイスの書き戻し (オンプレミスディレクトリと Azure の間の 2 者間同期) はい はい はい
パスワード保護 (カスタム禁止パスワード) はい はい
セルフサービスによるパスワードのリセット/変更/オンプレミスの書き戻しによるロック解除 はい はい
グループ、場所、デバイスの状態に基づく条件付きアクセス はい はい
条件付きアクセスを使用した多要素認証 はい はい
Microsoft Identity Manager はい はい
グループのアクセスと管理 はい はい
ID 保護 はい
リスク ベースの条件付きアクセス ポリシー はい
Privileged Identity Management (PIM) はい
権利管理 はい