情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

Azure AD の条件付きアクセスとは?

Microsoft 365
Azure AD
情報屋ヤマグチのタレコミ
この記事の内容
Azure AD の条件付きアクセスとは?
シンプルな条件付きアクセスの利用例
条件付きアクセスは、細かい条件を組み合わせて指定が可能
InPrivate ブラウズやシークレットウィンドウの利用についての注意点

株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

さて、クラウドサービスの多くは、パスワード認証を前提という仕組みを提供しており、アクセスしてくるユーザーが本人かの確認無しで、ID とパスワードが間違ってなければ、サービスにアクセスできてしまいます。

パスワード認証の問題点は、誰が、どこからでも、ID とパスワードが判れば、クラウドサービスにアクセスできてしまうといことで、設定しているパスワード自体が簡単で推測しやすい、パスワード漏洩、フィッシング攻撃やブルートフォースアタック(総当たり攻撃)等の攻撃や問題に対して、非常に脆弱であることです。

ライセンスのひも付き

Azure AD の条件付きアクセスとは?

Microsoft 365 では、各クラウドサービスへのセキュリティの強化とアクセスコントロール(制限)する目的で、条件付きアクセスという機能を提供しています。これは、IDaaS 製品として、多くのサードパーティーメーカーが提供している機能でもあります。

IDaaS は、ID 管理(Idp)とセキュリティを強化する目的で、シングルサインオン(SSO)、多要素認証(MFA)、アクセスコントロールなどの複数の機能を有し、クラウドサービスとして提供されていることが多く、条件付きアクセスは、この機能の中のアクセスコントロールに該当する機能です。

シングルサインオン
シングルサインオン(SSO)
・単一 ID を利用して、異なるクラウドサービスにシームレスにアクセス
・パスワードの管理の煩雑性の負荷を軽減
多要素認証
多要素認証(MFA)
・複数要素を利用した認証により、ID のセキュリティを強化
・パスワード入力機会を最小とすることで、パスワード漏洩リスクを軽減
ID 管理
ID 管理(ldp)・連携
・ユーザー属性の管理、連携
・オンプレミス Active Directory との連携による運用負担の軽減
アクセスコントロール
アクセスコントロール
・インターネットにアクセス可能な、ユーザー、デバイス、アプリケーションを条件にクラウドサービスへのアクセスを許可、制限する
ログ
ログ
・ユーザーのサービスアクセス状況の追跡、内部情報の漏洩対策

Microsoft 365 サービスにて、条件付きアクセスを実現する場合には、Azure AD P1 または P2 および Intune のライセンスを含むライセンスを利用するか、組み合わせて利用するのが一般的です。

<対象ライセンスの例>
・Microsoft 365 F3/E5/E3/BP
・Microsoft Enterprise Mobility + Security

シンプルな条件付きアクセスの利用例

❶ 多要素認証(MFA)を利用したユーザーアクセスのみクラウドサービスの利用が可能。
クラウドサービスアクセス時に、多要素認証(MFA)を利用したユーザーからのみ、クラウドサービスへのアクセスを可能とします。

多要素認証

❷ Microsoft 365(Intune)登録デバイスからのみクラウドサービスの利用が可能。
Microsoft Intune に登録したデバイスからのみ、クラウドサービスへのアクセスを可能とします。

Intune に登録

❸ 指定のグローバル IP アドレスからの通信時のみクラウドサービスの利用が可能。
業務を行うビルやシステムが置かれているデータセンターなどの特定のネットワーク(グローバル IP アドレス)からのみ、クラウドサービスへのアクセスを可能とします。

グローバル IP アドレスからの通信

条件付きアクセスは、細かい条件を組み合わせて指定が可能

条件付きアクセスは、多数の対象と条件設定、制御ができる機能となっています。ただ、やりたいこと各条件付きアクセスのポリシーと競合することなく実現していく際には、難しい設計や設定、動作確認が必要となってきますので、可能な限り、シンプルに設計するのが望ましいです。

条件付きアクセス

対象ユーザー
またはグループ
対象アプリ 条件 制御
・対象
・対象外
・ゲストユーザー
・すべてのユーザー
・指定のグループ/ユーザー
・対象
・対象外
・すべてのクラウドアプリ
・Office 365 のサービス
・Intune サービス
・AzureAD 連携対象のクラウドアプリ
・ユーザーのリスク
・サインインのリスク
・対象の場所
・対象の OS
・Web ブラウザー
・デスクトップアプリ
・デバイスの属性
・ブロック
・多要素認証
・Intune 準拠
・ハイブリッド AzureAD 状態
・承認されたクライアントアプリ
・アプリ保護ポリシー
・パスワード変更の強制
・コントロール(AND/OR)

※OS、ブラウザーについては、サポート対象が定められていますので、不特定な対象からのアクセスについては、制限される可能性があります。

対象 サポート
プラットフォーム ・Android
・iOS
・Windows Phone
・Windows
・macOS
・Linux OS
ブラウザー ・Windows 10 : Microsoft Edge、Internet Explorer、Chrome、Firefox 91+
・iOS : Microsoft Edge、Intune Managed Browser、Safari
・Android : Microsoft Edge、Intune Managed Browser、Chrome
・Windows Server 2019 : Microsoft Edge、Internet Explorer、Chrome
・Windows Server 2016 : Internet Explorer
・Windows Server 2012 R2 : Internet Explorer
・Windows Server 2008 R2 : Internet Explorer
・macOS : Microsoft Edge、Chrome、Safari

InPrivate ブラウズやシークレットウィンドウの利用についての注意点

Microsoft Edge の InPrivate ブラウズや、Google Chrome のシークレットウィンドウを利用または、Cookie が無効になっている環境では、条件付きアクセスの制御の動作が制限されます。

InPrivate ブラウズ

InPrivate ブラウズやシークレットウィンドウを利用している環境では、メインブラウザーとセカンドブラウザーの使い分けを行い、セカンドブラウザー利用時に資格情報を保持しない設定や終了時に Cookie をクリアにする設定をご検討ください。

Edge や Firefox には、ブラウザーを閉じる際には、キャッシュをクリアする機能があるので、こういった設定を利用して、代替してください。

キャッシュをクリア

キャッシュをクリア

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード

山口 泰志(やまぐち たいし)氏

※ 本投稿は、ソフクリ365倶楽部のTeams投稿した内容を再編したものです。 ソフクリ365倶楽部は こちら

■著者紹介■

山口 泰志(やまぐち たいし) 氏
埼玉県在住 出身: 福岡県だが、育ちは佐賀県

中小Sier、フリーランスエンジニア、大規模Sier等での経験を経て、2016年にソフトクリエイトに入社、AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、自らMicrosoft 365 サービスの企画、立上げ後、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導入を主導。

現在、Microsoft 365を中心としたテクノロジーをソフクリ365倶楽部で発信しながら、グループ全体のMicrosoft テクノロジーにて主導的な役割を担う。

趣味は、登山、ロードバイクを中心にアクティブ。しっかり考えて、やるべきことは、直ぐにやるがmotto。

山口をもっと知りたい!方は こちら