条件付きアクセス: 復元の既定値群
プライマリ認証サービスが停止した場合、Microsoft Entra Backup Authentication Service によって、既存のセッション用のアクセス トークンをアプリケーションに自動的に発行できます。 既存のセッションの再認証が、Microsoft Entra ID に対する認証の 90% 以上を占めるので、この機能により、Microsoft Entra の回復性が大幅に向上します。 ゲスト ユーザーによる新しいセッションや認証は、Backup Authentication Service ではサポートされません。
条件付きアクセスによって保護されている認証の場合、アクセス トークンが発行される前に、ポリシーが再評価されて以下のことが決定されます。
- 適用される条件付きアクセス ポリシー
- 適用されるポリシーについて、必要な制御が満たされているか
停止している間、条件付きアクセス ポリシーを適用する必要があるかどうかを判断するため、Backup Authentication Service によってすべての条件をリアルタイムで評価できるわけではありません。 条件付きアクセスの復元の既定値群は、管理者が以下のことを決定できる新しいセッション制御です。
- ポリシーの条件をリアルタイムで評価できない場合には常に、停止中に認証をブロックするかどうか。
- ユーザーのセッションの開始時に収集されたデータを使用してポリシーを評価できるようにするかどうか。
重要
復元の既定値群は、新規と既存のすべてのポリシーに対して自動的に有効になります。Microsoft は、停止の影響を軽減するため、復元の既定値群を有効のままにすることを強くお勧めします。 管理者は、個々の条件付きアクセス ポリシーについて、復元の既定値群を無効にできます。
それはどのように機能しますか?
停止の間、Backup Authentication Service によって特定のセッションのアクセス トークンが自動的に再発行されます。
| Session description (セッションの説明) | アクセスが許可されます |
|---|---|
| 新しいセッション | いいえ |
| 既存のセッション – 条件付きアクセス ポリシーが構成されていない | はい |
| 既存のセッション – 条件付きアクセス ポリシーが構成されており、MFA などの必要な制御が既に満たされた | はい |
| 既存のセッション – 条件付きアクセス ポリシーが構成されており、MFA などの必要な制御がまだ満たされていない | 復元の既定値群によって決定されます |
Microsoft Entra の停止中に既存のセッションの有効期限が切れると、新しいアクセス トークンの要求は Backup Authentication Service にルーティングされ、すべての条件付きアクセス ポリシーが再評価されます。 条件付きアクセス ポリシーがない場合、または MFA などの必要なすべての制御がセッションの開始時に既に満たされていた場合は、Backup Authentication Service によって新しいアクセス トークンが発行されて、セッションが延長されます。
ポリシーの必要な制御がまだ満たされていない場合は、アクセスを許可するか拒否するかを判断するため、ポリシーが再評価されます。 ただし、停止中にすべての条件をリアルタイムで再評価できるわけではありません。 異常な状態には次のようなものがあります。
- グループのメンバーシップ
- ロールのメンバーシップ
- サインイン リスク
- ユーザー リスク
- 国/リージョンの場所 (新しい IP または GPS 座標の解決)
- 認証強度
アクティブな場合、Backup Authentication Service は認証強度で必要な認証方法を評価しません。 停止前にフィッシング非対応の認証方法を使用した場合、停止中は、フィッシングに強い認証強度を持つ条件付きアクセス ポリシーによって保護されたリソースにアクセスする場合であっても、多要素認証を求められません。
復元の既定値群が有効
復元の既定値群が有効になっている場合、Backup Authentication Service により、セッションの開始時に収集されたデータを使用して、リアルタイム データがない場合にポリシーを適用する必要があるかどうかを評価できます。 既定では、すべてのポリシーで復元の既定値群が有効です。 停止中に機密性の高いアプリケーションにアクセスするためにリアルタイムのポリシー評価が必要な場合は、個々のポリシーに対して設定を無効にすることができます。
例: 復元の既定値群が有効になっているポリシーで、すべてのグローバル管理者が MFA を行うために Azure portal にアクセスする必要があります。 停止前に、グローバル管理者ではないユーザーが Azure portal にアクセスした場合、ポリシーは適用されず、ユーザーには MFA を求めることなくアクセス権が付与されます。 停止中は、Backup Authentication Service によってポリシーが再評価され、ユーザーに MFA を求めるかどうか判断されます。 Backup Authentication Service では、ロールのメンバーシップをリアルタイムで評価できないので、ユーザーのセッションの開始時に収集されたデータを使用して、ポリシーをまだ適用する必要がないかどうかが判断されます。 その結果、MFA を求めることなくユーザーにアクセス権が付与されます。
復元の既定値群が無効
復元の既定値群が無効になっている場合、セッションの開始時に収集されたデータを使用した Backup Authentication Service による条件の評価は行われません。 停止中にポリシー条件をリアルタイムで評価できない場合、アクセスは拒否されます。
例: 復元の既定値群が無効になっているポリシーで、すべてのグローバル管理者が MFA を行うために Azure portal にアクセスする必要があります。 停止前に、グローバル管理者ではないユーザーが Azure portal にアクセスした場合、ポリシーは適用されず、ユーザーには MFA を求めることなくアクセス権が付与されます。 停止中は、Backup Authentication Service によってポリシーが再評価され、ユーザーに MFA を求めるかどうか判断されます。 Backup Authentication Service ではロールのメンバーシップをリアルタイムで評価できないので、ユーザーの Azure Portal へのアクセスはブロックされます。
警告
グループまたはロールに適用されるポリシーの復元の既定値群を無効にすると、テナント内のすべてのユーザーの回復性が低下します。 停止中はグループとロールのメンバーシップをリアルタイムで評価できないので、ポリシー割り当てのグループまたはロールに属していないユーザーでも、ポリシーのスコープ内のアプリケーションへのアクセスが拒否されます。 ポリシーのスコープに含まれないすべてのユーザーについて回復性が低下しないようにするには、グループまたはロールではなく、個々のユーザーにポリシーを適用することを検討します。
復元の既定値群のテスト
現時点では、Backup Authentication Service を使用してドライ ランを実行したり、復元の既定値群が有効または無効になっているポリシーの結果をシミュレートしたりすることはできません。 Microsoft Entra により Backup Authentication Service の使用についてのテストが毎月行われます。 Backup Authentication Service を使用してアクセス トークンが発行されたかどうかがサインイン ログで示されます。 [ID]>[監視と正常性]>[サインイン ログ] ブレードで、"Token issuer type == Microsoft Entra Backup Auth" のフィルターを追加して、Microsoft Entra Backup Authentication Service で処理されたログを表示できます。
復元の既定値群の構成
条件付きアクセスの復元の既定値群は、Microsoft Entra 管理センター、MS Graph API、または PowerShell から構成できます。
Microsoft Entra 管理センター
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- 保護>条件付きアクセス を参照します。
- 新しいポリシーを作成するか、既存のポリシーを選択します
- セッション制御の設定を開きます
- このポリシーの設定を無効にするには、[復元の既定値群を無効にする] を選択します。 ポリシーのスコープ内のサインインは、Microsoft Entra の停止中はブロックされるようになります
- ポリシーの変更を保存します
MS Graph API
MS Graph API と Microsoft Graph Explorer を使用して、条件付きアクセスのポリシーに対する復元の既定値群を管理することもできます。
要求 URL の例:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
要求本文の例:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
このパッチ操作は、Microsoft.Graph.Authentication モジュールをインストールした後で Microsoft PowerShell を使用してデプロイできます。 このモジュールをインストールするには、管理者特権の PowerShell プロンプトを開いて以下を実行します
Install-Module Microsoft.Graph.Authentication
Microsoft Graph に接続し、必要なスコープを要求します。
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
プロンプトが表示されたら認証を行います。
PATCH 要求の JSON 本文を作成します。
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
パッチ操作を実行します。
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
推奨事項
Microsoft は、復元の既定値群を有効にすることをお勧めします。 直接的なセキュリティ上の懸念はありませんが、お客様は、停止している間に、リアルタイムではなく、セッション開始時に収集されたデータを使用した、Backup Authentication Service による条件付きアクセス ポリシーの評価を許可するかどうかを、評価する必要があります。
セッションが開始した後で、ユーザーのロールまたはグループのメンバーシップが変更された可能性があります。 継続的アクセス評価 (CAE) では、アクセス トークンは 24 時間有効ですが、即時失効イベントの対象となります。 Backup Authentication Service では、同じ失効イベントの CAE がサブスクライブされます。 CAE の一部としてユーザーのトークンが取り消された場合、ユーザーは停止中にサインインできません。 復元の既定値群を有効にすると、停止中に期限が切れる既存のセッションが延長されます。 サインイン頻度を強制するようにセッション制御でポリシーが構成されている場合でも、セッションは延長されます。 たとえば、復元の既定値群が有効になっているポリシーでは、ユーザーは SharePoint サイトにアクセスするために 1 時間ごとに再認証が必要になる場合があります。 停止中は、ユーザーの再認証に Microsoft Entra ID を使用できない場合でも、ユーザーのセッションが延長されます。