株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
さて、クラウドサービスの多くは、パスワード認証を前提という仕組みを提供しており、アクセスしてくるユーザーが本人かの確認無しで、ID とパスワードが間違ってなければ、サービスにアクセスできてしまいます。
パスワード認証の問題点は、誰が、どこからでも、ID とパスワードが判れば、クラウドサービスにアクセスできてしまうといことで、設定しているパスワード自体が簡単で推測しやすい、パスワード漏洩、フィッシング攻撃やブルートフォースアタック(総当たり攻撃)等の攻撃や問題に対して、非常に脆弱であることです。
-1.png)
Azure AD の条件付きアクセスとは?
Microsoft 365 では、各クラウドサービスへのセキュリティの強化とアクセスコントロール(制限)する目的で、条件付きアクセスという機能を提供しています。これは、IDaaS 製品として、多くのサードパーティーメーカーが提供している機能でもあります。
IDaaS は、ID 管理(Idp)とセキュリティを強化する目的で、シングルサインオン(SSO)、多要素認証(MFA)、アクセスコントロールなどの複数の機能を有し、クラウドサービスとして提供されていることが多く、条件付きアクセスは、この機能の中のアクセスコントロールに該当する機能です。
-2-01.png)
- シングルサインオン(SSO)
- ・単一 ID を利用して、異なるクラウドサービスにシームレスにアクセス
- ・パスワードの管理の煩雑性の負荷を軽減
-2-02.png)
- 多要素認証(MFA)
- ・複数要素を利用した認証により、ID のセキュリティを強化
- ・パスワード入力機会を最小とすることで、パスワード漏洩リスクを軽減
-2-03.png)
- ID 管理(ldp)・連携
- ・ユーザー属性の管理、連携
- ・オンプレミス Active Directory との連携による運用負担の軽減
-2-04.png)
- アクセスコントロール
- ・インターネットにアクセス可能な、ユーザー、デバイス、アプリケーションを条件にクラウドサービスへのアクセスを許可、制限する
-2-05.png)
- ログ
- ・ユーザーのサービスアクセス状況の追跡、内部情報の漏洩対策
Microsoft 365 サービスにて、条件付きアクセスを実現する場合には、Azure AD P1 または P2 および Intune のライセンスを含むライセンスを利用するか、組み合わせて利用するのが一般的です。
<対象ライセンスの例>
・Microsoft 365 F3/E5/E3/BP
・Microsoft Enterprise Mobility + Security
シンプルな条件付きアクセスの利用例
❶ 多要素認証(MFA)を利用したユーザーアクセスのみクラウドサービスの利用が可能。
クラウドサービスアクセス時に、多要素認証(MFA)を利用したユーザーからのみ、クラウドサービスへのアクセスを可能とします。
-3.png)
❷ Microsoft 365(Intune)登録デバイスからのみクラウドサービスの利用が可能。
Microsoft Intune に登録したデバイスからのみ、クラウドサービスへのアクセスを可能とします。
-4.png)
❸ 指定のグローバル IP アドレスからの通信時のみクラウドサービスの利用が可能。
業務を行うビルやシステムが置かれているデータセンターなどの特定のネットワーク(グローバル IP アドレス)からのみ、クラウドサービスへのアクセスを可能とします。
-5.png)
条件付きアクセスは、細かい条件を組み合わせて指定が可能
条件付きアクセスは、多数の対象と条件設定、制御ができる機能となっています。ただ、やりたいこと各条件付きアクセスのポリシーと競合することなく実現していく際には、難しい設計や設定、動作確認が必要となってきますので、可能な限り、シンプルに設計するのが望ましいです。
-6.png)
| 対象ユーザー またはグループ |
対象アプリ | 条件 | 制御 |
|---|---|---|---|
| ・対象 ・対象外 ・ゲストユーザー ・すべてのユーザー ・指定のグループ/ユーザー |
・対象 ・対象外 ・すべてのクラウドアプリ ・Office 365 のサービス ・Intune サービス ・AzureAD 連携対象のクラウドアプリ |
・ユーザーのリスク ・サインインのリスク ・対象の場所 ・対象の OS ・Web ブラウザー ・デスクトップアプリ ・デバイスの属性 |
・ブロック ・多要素認証 ・Intune 準拠 ・ハイブリッド AzureAD 状態 ・承認されたクライアントアプリ ・アプリ保護ポリシー ・パスワード変更の強制 ・コントロール(AND/OR) |
※OS、ブラウザーについては、サポート対象が定められていますので、不特定な対象からのアクセスについては、制限される可能性があります。
| 対象 | サポート |
|---|---|
| プラットフォーム | ・Android ・iOS ・Windows Phone ・Windows ・macOS ・Linux OS |
| ブラウザー | ・Windows 10 : Microsoft Edge、Internet Explorer、Chrome、Firefox 91+ ・iOS : Microsoft Edge、Intune Managed Browser、Safari ・Android : Microsoft Edge、Intune Managed Browser、Chrome ・Windows Server 2019 : Microsoft Edge、Internet Explorer、Chrome ・Windows Server 2016 : Internet Explorer ・Windows Server 2012 R2 : Internet Explorer ・Windows Server 2008 R2 : Internet Explorer ・macOS : Microsoft Edge、Chrome、Safari |
InPrivate ブラウズやシークレットウィンドウの利用についての注意点
Microsoft Edge の InPrivate ブラウズや、Google Chrome のシークレットウィンドウを利用または、Cookie が無効になっている環境では、条件付きアクセスの制御の動作が制限されます。
-8.png)
InPrivate ブラウズやシークレットウィンドウを利用している環境では、メインブラウザーとセカンドブラウザーの使い分けを行い、セカンドブラウザー利用時に資格情報を保持しない設定や終了時に Cookie をクリアにする設定をご検討ください。
Edge や Firefox には、ブラウザーを閉じる際には、キャッシュをクリアする機能があるので、こういった設定を利用して、代替してください。
-9.png)
-10.png)
