ゼロ トラストの条件付きアクセス

このセクションの記事では、クラウド サービスへのアクセスを制御するための条件付きアクセスを使用することによってゼロ トラスト原則を実装するための設計とフレームワークについて説明します。 このガイダンスは、お客様がリソースへのアクセスを制御することへの支援を行った長年の経験に基づいています。

ここで紹介するフレームワークは、セキュリティと使いやすさのバランスを取りつつユーザー アクセスを確実に制御するために使用できる、体系的なアプローチを表しています。

このガイダンスでは、ペルソナに基づくアクセスをセキュリティで保護するための体系的なアプローチが提案されています。 また、提案されたペルソナの内訳が示され、各ペルソナの条件付きアクセス ポリシーが定義されています。

対象ユーザー

このガイダンスは、次を行うユーザーを対象としています。

• Azure の保護リソースへのアクセスを制御するためのセキュリティと ID ソリューションを設計する。
• 提供後のソリューションを維持する。

対象ユーザーには、Microsoft Entra ID に関する基本的な業務知識があり、多要素認証、条件付きアクセス、ID、セキュリティの概念についての一般的な知識が必要です。

次の領域の知識も推奨されます。

• Microsoft Endpoint Manager
• Microsoft Entra ID 管理
• ゲスト ユーザー (B2B) 向けの Microsoft Entra 条件付きアクセスと多要素認証
• Microsoft Entra のセキュリティ ポリシーとリソース保護
• B2B の招待プロセス

必要条件

要件とセキュリティ ポリシーは、会社ごとに異なります。 アーキテクチャを作成し、条件付きアクセスのためのこの推奨されるフレームワークに従う場合は、お客様の会社の要件を考慮する必要があります。 このガイダンスには、アーキテクチャを作成するときに入力として使用できるゼロ トラストに関連する原則が含まれています。 そのため、特定の会社の要件とポリシーに対処し、それに応じてアーキテクチャを調整することができます。

たとえば、会社に次の要件がある場合があります。

• すべてのアクセスは、少なくとも 2 つの要素によって保護される必要がある。
• アンマネージド デバイスにデータがあってはならない。
• 可能な場合は、リソースへのアクセスに準拠しているデバイスが必要。
• ゲスト ユーザー アクセスは、アクセス パッケージとアクセス レビューを使用して Identity Governance によって管理される必要がある。
• クラウド サービスへのアクセスはパスワードレス認証に基づく必要がある。

条件付きアクセスのガイダンス

このセクションには、次の記事が含まれます。

• 条件付きアクセスの設計原則と依存関係では、お客様の会社の要件とともに、お勧めのペルソナベースのアーキテクチャへの入力として機能する、推奨される原則が提供されています。
• 条件付きアクセスのアーキテクチャとペルソナでは、条件付きアクセス ポリシーを構築するためのペルソナベースのアプローチが導入されています。 また、出発点として使用できるお勧めのペルソナも提供されています。
• 条件付きアクセスのフレームワークとポリシーでは、ペルソナに基づく条件付きアクセス ポリシーを構造化して名前を指定する方法に関する詳しい説明が提供されています。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Claus Jespersen | プリンシパル コンサルタント ID と Sec

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

• ラーニング パス: ID およびアクセス権を実装して管理する
• 条件付きアクセスとは
• 一般的な条件付きアクセス ポリシー

関連リソース

• 条件付きアクセスの設計原則と依存関係
• 条件付きアクセスのアーキテクチャとペルソナ
• 条件付きアクセスのフレームワークとポリシー
• セキュリティ運用における Microsoft Entra IDaaS