条件付きアクセスについて説明する

  • 6 分

条件付きアクセスは、認証されたユーザーにデータやその他の資産へのアクセスを許可する前に、追加のセキュリティ レイヤーを提供する Microsoft Entra ID の機能です。 条件付きアクセスは、Microsoft Entra ID で作成および管理されるポリシーを使用して実装されます。 条件付きアクセスポリシーでは、リソース (アプリとデータ) へのアクセスを許可するかどうかの決定を自動化するために、ユーザー、場所、デバイス、アプリケーション、リスクなどのシグナルが分析されます。

Image showing Conditional Access policy flow. Signals are used to decide whether to allow or block access to apps and data.

最も単純な条件付きアクセス ポリシーは、if-then ステートメントです。 たとえば、条件付きアクセス ポリシーには、ユーザーが特定のグループに属している "場合"、アプリケーションにサインインするために多要素認証を提供する必要があることが示されていることがあります。

重要

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。

条件付きアクセス ポリシーのコンポーネント

Microsoft Entra ID の条件付きアクセス ポリシーは、割り当てとアクセスの制御の 2 つのコンポーネントで構成されます。

Screen capture showing the two components of a conditional access policy, the assignments and the access controls.

代入

管理者は、条件付きアクセス ポリシーを作成するときに、割り当てを通じて使用するシグナルを決定できます。 ポリシーの割り当て部分では、条件付きアクセス ポリシーの誰が、何を、どこで、いつを制御します。 すべての割り当ては、論理的に AND 処理されます。 複数の割り当てを構成した場合、ポリシーをトリガーするには、すべての割り当てが満たされている必要があります。 割り当てには、次のようなものがあります。

  • ユーザーとグループでは、ポリシーに対して含めるまたは除外するユーザーを割り当てます。 この割り当てには、すべてのユーザー、特定のユーザー グループ、ディレクトリ ロール、または外部のゲスト ユーザーを含めることができます。 この割り当てには、テナントに登録されている単一のテナント サービス プリンシパル (アプリケーション) を含めることもできます。
  • クラウド アプリまたはアクション では、ポリシーの対象となるクラウド アプリケーション、ユーザー アクション、または認証コンテキストを含めるか、または除外することができます。 Microsoft Defender for Cloud と条件付きアクセスを統合すると、クラウド環境へのアクセスと、クラウド環境内で実行されるアクティビティをリアルタイムで表示および制御できます。
  • 条件では、ポリシーが適用される場所とタイミングを定義します。 複数の条件を組み合わせて、きめ細かで具体的な条件付きアクセス ポリシーを作成することができます。 条件には、次のようなものがあります。
    • サインイン リスクユーザー リスク。 Microsoft Entra ID Protection と統合することにより、条件付きアクセス ポリシーで、ディレクトリ内のユーザー アカウントに関連する疑わしいアクションを特定し、ポリシーをトリガーできます。 サインイン リスクは、特定のサインイン、つまり認証要求が ID 所有者によって承認されていない可能性です。 ユーザー リスクは、特定の ID またはアカウントが侵害されている可能性です。
    • デバイス プラットフォーム。 デバイスで実行されるオペレーティング システムによって特徴付けられるデバイス プラットフォームは、条件付きアクセス ポリシーを適用するときに使用できます。
    • IP ロケーション情報。 組織は、ポリシーを決定するときに使用できる信頼できる IP アドレスの範囲を定義できます。 また、管理者は、国または地域の IP 範囲全体からのトラフィックをブロックするのか、許可するのかを選択することもできます。
    • クライアント アプリ。 クライアント アプリ (ブラウザー、モバイル アプリ、デスクトップ クライアントなど、ユーザーがクラウド アプリにアクセスするために使用するソフトウェア) も、アクセス ポリシーの決定に使用できます。
    • デバイスのフィルター。 組織は、デバイスのフィルター オプションを使用すると、デバイスのプロパティに基づいてポリシーを適用できます。 たとえば、このオプションを使用して、特権アクセス ワークステーションなどの特定のデバイスをポリシーの対象にすることができます。

基本的に、割り当て部分では条件付きアクセス ポリシーのユーザー、内容、場所を制御します。

アクセス制御

条件付きアクセス ポリシーが適用されると、アクセスをブロックする、アクセスを許可する、検証を追加してアクセスを許可する、セッション制御を適用して制限されたエクスペリエンスを有効にするのいずれにするかが、情報に基づいて決定されます。 この決定は、条件付きアクセス ポリシーのアクセス制御部分と呼ばれ、ポリシーの適用方法が定義されます。 一般に次のものが決定されます。

  • [アクセスのブロック]
  • アクセス許可。 管理者は、制御を追加せずにアクセスを付与することも、アクセスを付与するときに 1 つ以上の制御を適用することを選択することもできます。 アクセスの付与に使用される制御の例としては、多要素認証の実行をユーザーに要求する、リソースにアクセスするための特定の認証方法を要求する、特定のコンプライアンス ポリシー要件を満たすようにデバイスに要求する、パスワードの変更を要求するなどがあります。 完全な一覧については、条件付きアクセス ポリシーでの付与の制御に関するページを参照してください。
  • セッション。 管理者は、条件付きアクセス ポリシー内でセッション コントロールを利用すると、特定のクラウド アプリケーション内でのエクスペリエンスを制限できるようになります。 例として、アプリの条件付きアクセス制御は、Microsoft Defender for Cloud Apps からのシグナルを使って、機密性の高いドキュメントのダウンロード、切り取り、コピー、印刷の機能がブロックされたり、機密性の高いファイルのラベル付けが要求されたりします。 その他のセッション制御には、サインインの頻度とアプリケーションで強制される制限が含まれます。選択したアプリケーションではデバイス情報を使用すると、デバイスの状態に応じて、制限付きまたは完全なエクスペリエンスがユーザーに提供されます。 完全な一覧については、条件付きアクセス ポリシーでのセッション制御に関するページを参照してください。

要約すると、割り当て部分では条件付きアクセス ポリシーのユーザー、内容、場所を制御し、アクセス制御部分ではポリシーの適用方法を制御します。