Microsoft Entra ID 内の保護されたアクションを追加、テスト、または削除する

  • [アーティクル]

Microsoft Entra ID 内の保護されたアクションは、ユーザーがアクションを実行しようとしたときに適用される条件付きアクセス ポリシーが割り当てられているアクセス許可です。 この記事では、保護されたアクションを追加、テスト、または削除する方法について説明します。

注意

保護されたアクションを適切に構成および適用するには、次の順序でこれらの手順を実行する必要があります。 この順序に従わないと、再認証を要求され続けるなど、予期しない動作が発生する場合があります。

前提条件

保護されたアクションを追加または削除するには、次の役割が必要です。

手順 1: 条件付きアクセス ポリシーを構成する

保護されたアクションでは条件付きアクセス認証コンテキストが使用されるため、認証コンテキストを構成し、それを条件付きアクセス ポリシーに追加する必要があります。 認証コンテキストを持つポリシーが既にある場合は、次のセクションに進むことができます。

  1. Microsoft Entra 管理センターにサインインします。

  2. [保護]>[条件付きアクセス]>[認証コンテキスト]>[認証コンテキスト] を選択します。

  3. [新しい認証コンテキスト] を選択して、[認証コンテキストの追加] ペインを開きます。

  4. 名前と説明を入力し、[保存] を選択します。

    Screenshot of Add authentication context pane to add a new authentication context.

  5. [ポリシー]>[新しいポリシー] を選択して、新しいポリシーを作成します。

  6. 新しいポリシーを作成し、認証コンテキストを選択します。

    詳細については、「条件付きアクセス: クラウド アプリ、アクション、認証コンテキスト」を参照してください。

    Screenshot of New policy page to create a new policy with an authentication context.

手順 2: 保護されたアクションを追加する

保護アクションを追加するには、条件付きアクセス認証コンテキストを使用して、条件付きアクセス ポリシーを 1 つ以上のアクセス許可に割り当てます。

  1. [保護]>[条件付きアクセス]>[ポリシー] を選択します。

  2. 保護されたアクションで使用する予定の条件付きアクセス ポリシーの状態が、[オフ] または [レポート専用] ではなく [オン] に設定されていることを確認します。

  3. [ID]>[役割と管理者]>[保護されたアクション] を選択します。

    Screenshot of Add protected actions page in Roles and administrators.

  4. [保護されたアクションの追加] を選択して、新しい保護されたアクションを追加します。

    [保護されたアクションの追加] が無効になっている場合は、条件付きアクセス管理者またはセキュリティ管理者の役割が割り当てられていることを確認します。 詳細については、「保護されたアクションのトラブルシューティング」を参照してください。

  5. 構成された条件付きアクセス認証コンテキストを選択します。

  6. [アクセス許可の選択] を選択し、条件付きアクセスを使用して保護するアクセス許可を選択します。

    Screenshot of Add protected actions page with permissions selected.

  7. [追加] を選択します。

  8. 終わったら、 [保存] を選択します。

    保護されたアクションの一覧に、新しい保護されたアクションが表示されます

手順 3: 保護されたアクションをテストする

ユーザーが保護されたアクションを実行するときには、条件付きアクセス ポリシー要件を満たす必要があります。 このセクションでは、ポリシーを満たすためのプロンプトが表示されるユーザーのエクスペリエンスを示します。 この例では、ユーザーが条件付きアクセス ポリシーを更新する前に、FIDO セキュリティ キーを使用して認証する必要があります。

  1. ポリシーを満たす必要があるユーザーとして Microsoft Entra 管理センターにサインインします。

  2. [保護]>[条件付きアクセス] を選択します。

  3. 条件付きアクセス ポリシーを選択して表示します。

    認証要件が満たされていないため、ポリシーの編集は無効になっています。 ページの下部には、次の注意事項があります。

    編集は、追加のアクセス要件によって保護されます。 再認証するには、ここをクリックします。

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. [再認証するには、ここをクリックします] を選択します。

  5. ブラウザーが Microsoft Entra サインイン ページにリダイレクトされたら、認証要件を完了します。

    Screenshot of a sign-in page to reauthenticate.

    認証要件を完了した後で、ポリシーを編集できます。

  6. ポリシーを編集し、変更を保存します。

    Screenshot of an enabled Conditional Access policy that can be edited.

保護されたアクションの削除

保護アクションを削除するには、アクセス許可から条件付きアクセス ポリシー要件の割り当てを解除します。

  1. [ID]>[役割と管理者]>[保護されたアクション] を選択します。

  2. 割り当てを解除するアクセス許可条件付きアクセス ポリシーを見つけて選択します。

    Screenshot of Protected actions page with permission selected to remove.

  3. ツール バーの [削除] を選択します。

    保護されたアクションを削除した後で、アクセス許可に条件付きアクセス要件はありません。 新しい条件付きアクセス ポリシーをアクセス許可に割り当てることができます。

Microsoft Graph

保護されたアクションの追加

保護されたアクションは、認証コンテキスト値をアクセス許可に割り当てることによって追加されます。 テナントで使用できる認証コンテキスト値は、authenticationContextClassReference API を呼び出すことによって検出できます。

認証コンテキストは、unifiedRbacResourceAction API ベータ エンドポイントを使用して、アクセス許可に割り当てることができます。

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

次の例は、microsoft.directory/conditionalAccessPolicies/delete アクセス許可に設定された認証コンテキスト ID を取得する方法を示しています。

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

プロパティ isAuthenticationContextSettable が true に設定されたリソース アクションは、認証コンテキストをサポートします。 プロパティ authenticationContextId の値を持つリソース アクションは、アクションに割り当てられている認証コンテキスト ID を持っています。

isAuthenticationContextSettable プロパティと authenticationContextId プロパティを表示するには、リソース アクション API への要求を行うときに、それらのプロパティを select ステートメントに含める必要があります。

保護されたアクションのトラブルシューティング

症状 - 認証コンテキスト値を選択できない

条件付きアクセス認証コンテキストを選択しようとしても、選択できる値がありません。

Screenshot of Add protected actions page with no authentication context to select.

原因

テナントで条件付きアクセス認証コンテキスト値が有効になっていません。

ソリューション

新しい認証コンテキストを追加して、テナントの認証コンテキストを有効にします。 [Publish to apps] (アプリに発行する) がオンになっていることを確認して、値を選択できるようにします。 詳細については、「認証コンテキスト」を参照してください。

症状 - ポリシーがトリガーされない

場合によっては、保護されたアクションが追加された後で、予期されたようにユーザーにプロンプトが表示されないことがあります。 たとえば、ポリシーで多要素認証が必要な場合に、ユーザーにサインイン プロンプトが表示されないことがあります。

原因 1

ユーザーは、保護されたアクションに使用される条件付きアクセス ポリシーに割り当てられていません。

解決策 1

条件付きアクセスの What If ツールを使用して、ユーザーにポリシーが割り当てられているかどうかを確認します。 ツールを使用するときには、ユーザーと、保護されたアクションで使用された認証コンテキストを選択します。 [What If] を選択し、予期されたポリシーが [適用するポリシー] テーブルに一覧表示されていることを確認します。 ポリシーが適用されていない場合は、ポリシー ユーザーの割り当て条件を確認し、ユーザーを追加します。

原因 2

ユーザーは以前にポリシーを満たしていました。 たとえば、同じセッションで以前に多要素認証を完了していました。

解決策 2

トラブルシューティングを行うには、Microsoft Entra サインイン イベントを確認します。 サインイン イベントには、セッションに関する詳細情報 (例: ユーザーが既に多要素認証を完了したかどうか) が含まれます。 サインイン ログを使用してトラブルシューティングを行うときには、ポリシーの詳細ページを確認して、認証コンテキストが要求されたことを確認することもできます。

現象 - ポリシーが満たされない

条件付きアクセス ポリシーの要件を実行しようとすると、ポリシーが満たされず、再認証を要求され続けます。

原因

条件付きアクセス ポリシーが作成されていないか、ポリシーの状態が [オフ] または [レポート専用] になっている。

ソリューション

条件付きアクセス ポリシーが存在しない場合は作成し、状態を [オン] に設定します。

アクションが保護され、再認証の要求が繰り返されるために [条件付きアクセス] ページにアクセスできない場合は、次のリンクを使用して [条件付きアクセス] ページを開きます。

症状 - 保護されたアクションを追加するためのアクセス権がない

サインインしているときに、保護されたアクションを追加または削除するためのアクセス許可がありません。

原因

保護されたアクションを管理するためのアクセス許可がありません。

ソリューション

条件付きアクセス管理者またはセキュリティ管理者の役割が割り当てられていることを確認します。

症状 - 保護されたアクションを実行するために PowerShell を使用しているときにエラーが返された

保護されたアクションを実行するために PowerShell を使用しているときに、エラーが返され、条件付きアクセス ポリシーを満たすためのプロンプトがありません。

原因

Microsoft Graph PowerShell は、ポリシー プロンプトを許可するために必要なステップアップ認証をサポートしています。 Azure と Azure AD Graph PowerShell は、ステップアップ認証ではサポートされていません。

解決方法

Microsoft Graph PowerShell を使用していることを確認します。

次のステップ