条件付きアクセス テンプレート (プレビュー)

条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法を提供します。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせて、最大限の保護を提供するように設計されています。

Azure portal における条件付きアクセス ポリシーとテンプレート。

次の 5 つの異なるシナリオでフィルター処理された 14 個の条件付きアクセス ポリシー テンプレートがあります。

  • 安全な基盤
  • ゼロ トラスト
  • リモート ワーク
  • 管理者の保護
  • 新しい脅威
  • All

テンプレートは、[Azure portal]>[Azure Active Directory]>[セキュリティ]>[条件付きアクセス]>[テンプレートからの新しいポリシー (プレビュー)] で見つけます。 [表示数を増やす] を選択して、各シナリオのすべてのポリシー テンプレートを表示します。

Azure portal で事前構成済みのテンプレートから条件付きアクセス ポリシーを作成します。

重要

条件付きアクセス テンプレート ポリシーは、ポリシーを作成しているユーザーのみをテンプレートから除外します。 組織で他のアカウントを除外する必要がある場合は、作成された後にポリシーを変更できます。 単に [Azure portal]>[Azure Active Directory]>[セキュリティ]>[条件付きアクセス]>[ポリシー] の順に移動し、ポリシーを選択してエディターを開き、除外されるユーザーとグループを変更して除外するアカウントを選択します。

既定では、各ポリシーはレポート専用モードで作成されます。意図した結果を得るために、各ポリシーを有効にする前に、組織で使用状況をテストおよび監視することをお勧めします。

組織は、個々のポリシー テンプレートを選択できるほか、次のことが可能です。

  • ポリシー設定の概要を表示する。
  • 組織のニーズに基づいてカスタマイズするために編集する。
  • プログラムのワークフローで使用するために JSON 定義をエクスポートする。
    • これらの JSON 定義は、編集した後、[ポリシー ファイルのインポート] オプションを使用して、メインの [条件付きアクセス ポリシー] ページでインポートできます。

条件付きアクセス テンプレートのポリシー

* これらの 4 つのポリシーをまとめて構成すると、セキュリティの既定値群によって有効にされたものと同じ機能が提供されます。

その他の一般的なポリシー

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

  • 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスの復旧手順を実行できます。
  • サービス アカウントサービス プリンシパル (Azure AD Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。 プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。 サービス プリンシパルによって行われた呼び出しは、条件付きアクセスによってブロックされることはありません。
    • 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。

次のステップ