一般的な条件付きアクセス ポリシー: セキュリティ情報登録のセキュリティ保護

Azure AD 多要素認証とセルフサービス パスワード リセットの登録をユーザーがいつどのように行うかについてのセキュリティ保護が、条件付きアクセス ポリシーのユーザー アクションを使用して可能になりました。 この機能は、統合された登録を有効にしている組織で使用できます。 この機能により、組織は、条件付きアクセス ポリシー内のアプリケーションと同様に登録プロセスを処理し、条件付きアクセスの機能を最大限に活用してエクスペリエンスをセキュリティ保護できます。 Microsoft Authenticator アプリにサインインしているか、パスワードレスの電話によるサインインを有効にしているユーザーは、このポリシーの対象となります。

一部の組織では、これまで、登録エクスペリエンスをセキュリティ保護する手段として、信頼されたネットワークの場所またはデバイスのコンプライアンスを使用していた場合がありました。 Azure AD に一時アクセス パスが追加されたことにより、管理者は、任意のデバイスや場所から登録できるように、時間制限のある資格情報をユーザーに提供できます。 一時アクセス パスの資格情報は、多要素認証の条件付きアクセス要件を満たしています。

テンプレートのデプロイ

組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレート (プレビュー) を使用するかを選ぶことができます。

登録をセキュリティ保護するためのポリシーを作成する

次のポリシーは、統合された登録エクスペリエンスを使用して登録を試みる選択ユーザーに適用されます。 このポリシーでは、ユーザーが信頼できるネットワークの場所にいること、多要素認証を行うこと、または一時アクセス パスの資格情報を使用することが必要です。

  1. Azure portal で、[Azure Active Directory][セキュリティ][条件付きアクセス] に移動します。
  2. [新しいポリシー] を選択します。
  3. [名前] に、このポリシーの名前を入力します。 たとえば、「TAP での統合されたセキュリティ情報の登録」などです。
  4. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。

      警告

      [統合された登録] に対してユーザーを有効にする必要があります。

    2. [除外] で、次のようにします。

      1. [すべてのゲストと外部ユーザー] を選択します。

      2. [ディレクトリ ロール] を選択し、[グローバル管理者] を選択します

        注意

        ゲスト ユーザーに対しては、一時アクセス パスは機能しません。

      3. [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。

  5. [クラウド アプリまたはアクション] から [ユーザー アクション] を選択し、 [セキュリティ情報の登録] をオンにします。
  6. [条件]>[場所]
    1. [構成][はい] に設定します。
      1. [任意の場所] を含めます。
      2. [すべての信頼できる場所] を除外します。
  7. [アクセス制御]>[付与]
    1. [アクセス権の付与] [多要素認証を要求する] を選択します。
    2. [選択] を選択します。
  8. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  9. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、[レポート専用モード] を使用して設定を確認した後、 [ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

管理者は、新しいユーザーに対して一時アクセス パス資格情報を発行する必要があります。これにより、登録するための多要素認証の要件を満たすことができます。 このタスクを実行する手順については、Azure AD での一時アクセス パスの作成に関するセクションを参照してください。

組織では、手順 7a の [多要素認証が必要] に加えて、またはその代わりに、他の許可制御の要求を選択することもできます。 複数の制御を選択する場合は、この変更を行うときに、選択した制御のすべてまたはいずれかを必要とするように、適切なオプション ボタンのトグルを選択してください。

ゲスト ユーザーの登録

ディレクトリで多要素認証への登録が必要なゲスト ユーザーについては、次のガイドを使用して、信頼されたネットワークの場所の外部からの登録をブロックすることを選択できます。

  1. Azure portal で、[Azure Active Directory][セキュリティ][条件付きアクセス] に移動します。
  2. [新しいポリシー] を選択します。
  3. [名前] に、このポリシーの名前を入力します。 たとえば、「信頼されたネットワーク上の統合されたセキュリティ情報の登録」など。
  4. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [含める] で、 [すべてのゲストと外部ユーザー] を選択します。
  5. [クラウド アプリまたはアクション] から [ユーザー アクション] を選択し、 [セキュリティ情報の登録] をオンにします。
  6. [条件][場所]
    1. [はい] を構成します。
    2. [任意の場所] を含めます。
    3. [すべての信頼できる場所] を除外します。
  7. [アクセス制御]>[付与]
    1. [アクセスのブロック] を選択します。
    2. [選択] をクリックします。
  8. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  9. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、[レポート専用モード] を使用して設定を確認した後、 [ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

次のステップ

Conditional Access common policies (条件付きアクセスの一般的なポリシー)

条件付きアクセスのレポート専用モードを使用した影響を判断する

Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)

ユーザーに認証情報の再認証を要求する