Office365のアクセス元IPアドレス制限について

残りの全員はFederated Domainとして構成されているとのことですので、HDE One側でアクセス制御されます。

このため、AzureADの条件付きアクセスはCloud IDとして構成されている特別な管理アカウントにのみ利用される認識です。

質問者さんの希望は

> 特別に特定アカウントのみ（接続元IPアドレスは固定）、接続許可させたい

なので残りの全員に「拒否」の構成をしなければならないわけですから、少なくとも接続許可しないユーザーの人数だけのライセンスが必要なのでは？

特定ユーザーにのみAzure ADの条件付きアクセスを利用したIP制限を掛けたいという場合は、そのユーザー数分のみのAzure AD Premiumのライセンスを購入し、そのユーザーに割り当てれば大丈夫です。

Azure AD の条件付きアクセスに関する Q&A

https://blogs.technet.microsoft.com/jpazureid/2017/12/04/conditional-access-qa/

Q. 条件付きアクセスを利用するためには、Azure AD Premium のライセンス数を何個購入すればよいでしょうか？

A. 条件付きアクセスの機能を利用してアプリケーションへのアクセス可否の評価が行われるユーザーに対して、Azure AD Premium (P1 以上) を割り当てる必要があります。

Genki Watanabe さん

ご返信ありがとうございます。

＞残念ながらAzure AD側のアクセス元制限の機能は無償では利用できません。

そうですか、理解しました。

追加質問で恐縮ですが、

管理者権限を持った特定アカウントに対してIP許可（※）を利用したい場合、

Azure AD Premium P1ライセンスは全ユーザ分オプション購入しないと利用できないのでしょか。

それとも特定アカウント分だけポリシー設定を行い、オプション購入すれば利用できるのでしょか。

※セキュリティー上、全体的なアクセス制限は、HDE Oneを導入して以下のように設定されているようです。

Office365の設定（テナントシート）では、ユーザドメイン（xxxxxxx.co.jp）に関する「Office 365 フェデレーション設定」>「Authentication」が「Federated」になっているそうです。「ActiveLogOnUri」に　「ユーザ用の HDE One 認証サイトの URL」を指定しております。

この設定により、Office365 ユーザが、Microsoft の「Office365 サインイン 画面」でログインしようとすると、 「ユーザ様専用の HDE One 認証サイト」に自動的に遷移して、当該認証サイトで（ ID/Password ）ログインすると、HDE One の「接続IP アドレス制限機能」が働き、HDE One 側に登録した IP アドレス以外の端末からのログインが不可となっているそうです。

今回は、このHDE Oneを経由出来ないAPI接続仕様制限に掛ってしまうため、HDE Oneではなく、Azure AD で特別に特定アカウントのみ（接続元IPアドレスは固定）、接続許可させたい検討となります。

Azure ADは一般ユーザID/管理者ID 共に、特段のポリシー（アクセス制御ポリシーを含む）は、設定していません。全ユーザに Office365の Enterprise E3ライセンスを付与しています。

残念ながらAzure AD側のアクセス元制限の機能は無償では利用できません。

Exchange OnlineとSharePoint Online/OneDrive for Businessにおいてはクライアントアクセスルールや場所に基づく条件付きアクセスなどで実装できる可能性もあります。

https://technet.microsoft.com/ja-jp/library/mt842508%28v=exchg.150%29.aspx

https://blogs.technet.microsoft.com/microsoft\_office\_/2017/02/02/introducing-conditional-access-by-network-location-for/