条件付きアクセスとは

現在のセキュリティ境界は組織のネットワークの外にまで広がり、ユーザーとデバイスの ID が境界の中に含まれるようになっています。 組織では、アクセス制御に関する決定を行う過程で、これらの ID ドリブン シグナルを使用できます。

条件付きアクセスでは、決定のためにシグナルをまとめ、組織のポリシーを適用します。 Azure AD の条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。

条件付きアクセス ポリシーは、簡単に言えば、ユーザーがリソースにアクセスする場合、ユーザーはアクションを完了する必要があるという if-then ステートメントです。 例: 給与管理者は、給与処理アプリケーションにアクセスする必要があります。アクセスには多要素認証を実行することが要求されます。

管理者が直面している 2 つの主な目標は次のとおりです。

• 場所や時間を問わず、ユーザーの生産性を向上させること
• 組織の資産を保護すること

条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持します。

重要

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。

一般的なシグナル

ポリシーに基づく決定を行うときに、条件付きアクセスで考慮することができる一般的なシグナルには、次のようなシグナルがあります。

• ユーザーまたはグループ メンバーシップ
  • 特定のユーザーとグループをポリシーの対象にすることができるため、管理者はアクセスをきめ細かく制御できます。
• IP の場所に関する情報
  • 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。
  • 管理者は、国/地域全体の IP 範囲を指定して、その範囲からのトラフィックをブロックまたは許可することができます。
• Device
  • 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。
  • デバイスのフィルターを使用して、特権アクセス ワークステーションなどの特定のデバイスを対象にポリシーを設定します。
• Application
  • 特定のアプリケーションにアクセスしようとするユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。
• リアルタイムでの計算されたリスクの検出
  • シグナルと Azure AD Identity Protection の統合により、条件付きアクセス ポリシーで危険なサインイン動作を特定できます。 その上で、ポリシーでユーザーにパスワード変更や多要素認証の実行を強制してリスク レベルを下げることや、管理者が手動で対処するまでユーザーのアクセスをブロックすることができます。
• Microsoft Defender for Cloud Apps
  • ユーザーのアプリケーションへのアクセスとセッションをリアルタイムで監視および制御できるようにします。クラウド環境へのアクセスと、クラウド環境で実行されるアクティビティの可視性を高めて制御を強化できます。

一般的な決定

• アクセスのブロック
  • 最も制限の厳しい決定
• アクセス権の付与
  • 最も制限が弱い決定でも、次のオプションのうち 1 つ以上を要求することができます。
    • 多要素認証を要求する
    • デバイスは準拠としてマーク済みである必要がある
    • ハイブリッド Azure AD 参加済みのデバイスを必要とする
    • 承認済みクライアント アプリを必須にする
    • アプリの保護ポリシーが必要 (プレビュー)

一般的に適用されるポリシー

多くの組織には、次のような一般的なアクセスの問題があり、それらに対して条件付きアクセス ポリシーが役に立ちます。

• 管理者の役割を持つユーザーに多要素認証を要求する
• Azure 管理タスクに多要素認証を要求する
• レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする
• Azure AD Multifactor Authentication の登録に信頼できる場所を要求する
• 特定の場所からのアクセスをブロックまたは許可する
• リスクの高いサインイン動作をブロックする
• 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする

ライセンスの要件

この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般提供されている Azure AD の機能の比較に関するページをご覧ください。

Microsoft 365 Business Premium ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。

リスクベースのポリシーでは、ID 保護へのアクセスが必要です。これは Azure AD P2 機能です。

条件付きアクセス ポリシーと対話する可能性のあるその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。

条件付きアクセスに必要なライセンスの有効期限が切れると、ポリシーは自動的に無効または削除されないため、お客様はセキュリティ体制を急に変更することなく条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新できなくなります。

セキュリティの既定値は ID 関連の攻撃を防止するのに役立ち、すべての顧客が利用できます。

ゼロ トラスト

この機能は、組織の ID を、ゼロ トラスト アーキテクチャの 3 つの基本原則に従って運用するのに役立ちます。

• 明示的に検証する
• 最小特権を使う
• 侵害を想定する

ゼロ トラストや、組織で基本原則に従うためのその他の方法について、詳しくは「ゼロトラスト ガイダンス センター」を参照してください。

次のステップ

• 条件付きアクセス ポリシーを 1 つずつ作成する
• 条件付きアクセスのデプロイを計画する
• Identity Protection について学ぶ
• Microsoft Defender for Cloud Apps の詳細を確認する
• Microsoft Intune について学ぶ