条件付きアクセスのレポート専用モードとは
条件付きアクセスは、適切な状況下で適切なアクセス制御を適用することによってセキュリティを維持する目的で、お客様に広く使用されています。 条件付きアクセスポリシーを組織にデプロイする際の課題の 1 つに、エンド ユーザーに対する影響を見定めることが挙げられます。 一般的なセキュリティ イニシアチブの影響を受けるユーザーの数と名前を予測するのは困難な場合があります。 これらのイニシアチブには、レガシ認証のブロック、ユーザーの集団に対する多要素認証の要求、サインイン リスク ポリシーの実装などがあります。
レポート専用モードは、条件付きアクセス ポリシーの新しい状態です。このモードを使うと、管理者が環境で条件付きアクセス ポリシーを有効にする前に、その影響を評価することができます。
- "ユーザー アクション" スコープに含まれる項目以外に関しては、条件付きアクセス ポリシーは、レポート専用モードで評価することができます。
- サインイン中に、レポート専用モードになっているポリシーが評価されますが、強制はされません。
- 結果は、サインイン ログの詳細にある [条件付きアクセス] および [レポート専用] タブに記録されます。
- Azure Monitor サブスクリプションをお持ちのお客様は、条件付きアクセスに関する分析情報のブックを使用して、条件付きアクセス ポリシーの影響を監視できます。
警告
レポート専用モードになっているポリシーで準拠しているデバイスが要求されている場合には、デバイスの準拠が強制されていなくても、ポリシーの評価中に Mac、iOS、および Android のユーザーに対してデバイス証明書の選択が求められる場合があります。 これらのプロンプトの表示は、デバイスが準拠状態になるまで繰り返される場合があります。 サインイン時にエンド ユーザーにプロンプトが表示されないようにするには、デバイス プラットフォームである Mac、iOS、および Android を、デバイスの準拠状態を確認するレポート専用ポリシーから除外します。 レポート専用モードは、"ユーザー アクション" スコープの条件付きアクセス ポリシーには適用されないことに注意してください。
ポリシーの結果
特定のサインインについてレポート専用モードになっているポリシーが評価された場合、結果として返される可能性があるのは新たに用意された次の 4 つの値のいずれかです。
| 結果 | 説明 |
|---|---|
| レポートのみ: Success | 構成されているポリシー条件、必要な非対話型の許可コントロール、セッション コントロールをすべて充足しています。 たとえば、トークンに既に存在する MFA 要求によって多要素認証の要件が満たされている場合や、準拠しているデバイスでデバイス チェックを実行することにより、準拠しているデバイス ポリシーを充足している場合が挙げられます。 |
| レポートのみ: 障害 | 構成されているポリシー条件はすべて充足していますが、必要な非対話型の許可コントロールまたはセッション コントロールの一部またはすべてが充足できていません。 たとえば、ブロック コントロールが構成されているのにユーザーにポリシーが適用されている場合や、いずれかのデバイスが準拠しているデバイス ポリシーに準拠していない場合が挙げられます。 |
| レポートのみ: ユーザーによる操作が必要です | 構成されているポリシー条件はすべて充足していますが、必要な許可コントロールまたはセッション コントロールを充足するためにユーザーによる操作が必要です。 レポート専用モードでは、必要なコントロールの充足を求めるプロンプトがユーザーに表示されることはありません。 たとえば、多要素認証チャレンジや利用規約に関するプロンプトがユーザーに表示されることはありません。 |
| レポートのみ: 適用されていません | 構成されているポリシー条件の一部またはすべてを充足できていません。 たとえば、ユーザーがポリシーから除外されているか、またはポリシーが特定の信頼されたネームド ロケーションにしか適用されていません。 |
条件付きアクセスに関する分析情報のブック
管理者は、レポート専用モードのポリシーを複数作成できます。そのため、各ポリシーが及ぼす個別の影響と、複数のポリシーが一緒に評価されたことによる複合的な影響の両方を把握する必要があります。 新しい "条件付きアクセスに関する分析情報のブック" を使用すると、管理者が条件付きアクセス クエリを視覚化して、特定の期間、一連のアプリケーション、ユーザーに対するポリシーの影響を監視できます。