情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
セミナー

Azure AD の条件付きアクセスとは?

Microsoft 365
Azure AD
情報屋ヤマグチのタレコミ
この記事の内容
Azure AD の条件付きアクセスとは?
シンプルな条件付きアクセスの利用例
条件付きアクセスは、細かい条件を組み合わせて指定が可能
InPrivate ブラウズやシークレットウィンドウの利用についての注意点

株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

さて、クラウドサービスの多くは、パスワード認証を前提という仕組みを提供しており、アクセスしてくるユーザーが本人かの確認無しで、ID とパスワードが間違ってなければ、サービスにアクセスできてしまいます。

パスワード認証の問題点は、誰が、どこからでも、ID とパスワードが判れば、クラウドサービスにアクセスできてしまうといことで、設定しているパスワード自体が簡単で推測しやすい、パスワード漏洩、フィッシング攻撃やブルートフォースアタック(総当たり攻撃)等の攻撃や問題に対して、非常に脆弱であることです。

ライセンスのひも付き

Azure AD の条件付きアクセスとは?

Microsoft 365 では、各クラウドサービスへのセキュリティの強化とアクセスコントロール(制限)する目的で、条件付きアクセスという機能を提供しています。これは、IDaaS 製品として、多くのサードパーティーメーカーが提供している機能でもあります。

IDaaS は、ID 管理(Idp)とセキュリティを強化する目的で、シングルサインオン(SSO)、多要素認証(MFA)、アクセスコントロールなどの複数の機能を有し、クラウドサービスとして提供されていることが多く、条件付きアクセスは、この機能の中のアクセスコントロールに該当する機能です。

シングルサインオン
シングルサインオン(SSO)
・単一 ID を利用して、異なるクラウドサービスにシームレスにアクセス
・パスワードの管理の煩雑性の負荷を軽減
多要素認証
多要素認証(MFA)
・複数要素を利用した認証により、ID のセキュリティを強化
・パスワード入力機会を最小とすることで、パスワード漏洩リスクを軽減
ID 管理
ID 管理(ldp)・連携
・ユーザー属性の管理、連携
・オンプレミス Active Directory との連携による運用負担の軽減
アクセスコントロール
アクセスコントロール
・インターネットにアクセス可能な、ユーザー、デバイス、アプリケーションを条件にクラウドサービスへのアクセスを許可、制限する
ログ
ログ
・ユーザーのサービスアクセス状況の追跡、内部情報の漏洩対策

Microsoft 365 サービスにて、条件付きアクセスを実現する場合には、Azure AD P1 または P2 および Intune のライセンスを含むライセンスを利用するか、組み合わせて利用するのが一般的です。

<対象ライセンスの例>
・Microsoft 365 F3/E5/E3/BP
・Microsoft Enterprise Mobility + Security

シンプルな条件付きアクセスの利用例

❶ 多要素認証(MFA)を利用したユーザーアクセスのみクラウドサービスの利用が可能。
クラウドサービスアクセス時に、多要素認証(MFA)を利用したユーザーからのみ、クラウドサービスへのアクセスを可能とします。

多要素認証

❷ Microsoft 365(Intune)登録デバイスからのみクラウドサービスの利用が可能。
Microsoft Intune に登録したデバイスからのみ、クラウドサービスへのアクセスを可能とします。

Intune に登録

❸ 指定のグローバル IP アドレスからの通信時のみクラウドサービスの利用が可能。
業務を行うビルやシステムが置かれているデータセンターなどの特定のネットワーク(グローバル IP アドレス)からのみ、クラウドサービスへのアクセスを可能とします。

グローバル IP アドレスからの通信

条件付きアクセスは、細かい条件を組み合わせて指定が可能

条件付きアクセスは、多数の対象と条件設定、制御ができる機能となっています。ただ、やりたいこと各条件付きアクセスのポリシーと競合することなく実現していく際には、難しい設計や設定、動作確認が必要となってきますので、可能な限り、シンプルに設計するのが望ましいです。

条件付きアクセス

対象ユーザー
またはグループ
対象アプリ 条件 制御
・対象
・対象外
・ゲストユーザー
・すべてのユーザー
・指定のグループ/ユーザー
・対象
・対象外
・すべてのクラウドアプリ
・Office 365 のサービス
・Intune サービス
・AzureAD 連携対象のクラウドアプリ
・ユーザーのリスク
・サインインのリスク
・対象の場所
・対象の OS
・Web ブラウザー
・デスクトップアプリ
・デバイスの属性
・ブロック
・多要素認証
・Intune 準拠
・ハイブリッド AzureAD 状態
・承認されたクライアントアプリ
・アプリ保護ポリシー
・パスワード変更の強制
・コントロール(AND/OR)

※OS、ブラウザーについては、サポート対象が定められていますので、不特定な対象からのアクセスについては、制限される可能性があります。

対象 サポート
プラットフォーム ・Android
・iOS
・Windows Phone
・Windows
・macOS
・Linux OS
ブラウザー ・Windows 10 : Microsoft Edge、Internet Explorer、Chrome、Firefox 91+
・iOS : Microsoft Edge、Intune Managed Browser、Safari
・Android : Microsoft Edge、Intune Managed Browser、Chrome
・Windows Server 2019 : Microsoft Edge、Internet Explorer、Chrome
・Windows Server 2016 : Internet Explorer
・Windows Server 2012 R2 : Internet Explorer
・Windows Server 2008 R2 : Internet Explorer
・macOS : Microsoft Edge、Chrome、Safari

InPrivate ブラウズやシークレットウィンドウの利用についての注意点

Microsoft Edge の InPrivate ブラウズや、Google Chrome のシークレットウィンドウを利用または、Cookie が無効になっている環境では、条件付きアクセスの制御の動作が制限されます。

InPrivate ブラウズ

InPrivate ブラウズやシークレットウィンドウを利用している環境では、メインブラウザーとセカンドブラウザーの使い分けを行い、セカンドブラウザー利用時に資格情報を保持しない設定や終了時に Cookie をクリアにする設定をご検討ください。

Edge や Firefox には、ブラウザーを閉じる際には、キャッシュをクリアする機能があるので、こういった設定を利用して、代替してください。

キャッシュをクリア

キャッシュをクリア

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード
セミナー
山口 泰志

山口 泰志(やまぐち たいし)

  • 出身:福岡生まれ、佐賀育ち
  • Motto:しっかり考えて、やるべきことは、直ぐにやる!

Microsoft Top Partner Engineer Award 2023年受賞
弊社グループ全体における Microsoft 365 の技術主導者。
中堅・中小企業様向けには、日々、
Microsoft 365を中心とした技術情報を ソフクリ365倶楽部 で発信。

情報屋ヤマグチをもっと知る!
経歴
~2016年
中⼩SIer、フリーランスエンジニア、⼤規模SIer等での経験を経て、2016年にソフトクリエイトに⼊社しました。
ソフトクリエイト⼊社後
AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、⾃分の発案でMicrosoft 365サービスの企画、⽴上げを⾏った後に、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導⼊を主導しました。
現在
Microsoft 365の技術を中⼼に最新のテクノロジーや使い⽅を内外に発信したり、勉強会・トレーニング講師、新サービス⽴案、⽴上げとかの仕事をしています。
人気記事
趣味
散歩、登⼭、ロードバイク、旅⾏とかで、
外に出かけて、⾝体を動かすものが多いです
最近行って良かった所

この数年は、海外にも行くようになり、各国の文化や風土の違いを感じる経験ができるようになりました。

Seattle
Microsoft本社、ウォーターフロント、ワシントン大学、カロリー増々な食事
台湾
故宮博物院、台北101、九分のジブリ風な街並み、猫村として有名な猴硐(ホウトン)、気球や十分瀑布で有名な十分、各地域の夜市を中心としたグルメ
心掛けていること
現在の世の中では、エンジニアが何かを作れたり、運⽤できたりでは⾜りず、⾊々な視点で、考え、語り、発信できる様になる必要があると考えています。この様な活動のモデルとして、働き⽅と、テクノロジーの両⾯で、お客様、組織をリードできる様な⼈になれるように⽇々チャレンジすることを⼼掛けています。
最後に一言
テレワーク、社内のインフラ運⽤、セキュリティの維持対応、DX、AI等々、組織の情報システム部に求められる役割は、⽇々増⼤しています。この様な、時代の進歩の早い世の中で、皆様と⼀緒に⾼めあったり、課題を解決できるような関係を作っていきたいと考えていますので、どうぞよろしく!
情報屋山口ブログに関するおすすめ記事
Microsoft 365 のユーザーのサインイン ID 変更時の影響は?
Azure AD の SSO(シングルサインオン)について
【改訂版】Microsoft 365 テナントで多要素認証 (MFA)を無効化する。
Microsoft 365 ライセンスの期限切れ時の動作
Microsoft 365 Web アプリの利用について、セッションタイムアウト時間の設定または、永続アクセスを設定する。