条件付きアクセスによる準拠しているネットワークのチェックを有効にする
Global Secure Access プレビューで条件付きアクセスを使用する組織は、多層防御を提供する複数の条件を使用して、Microsoft アプリ、サードパーティの SaaS アプリ、非公開の基幹業務 (LoB) アプリへの悪意のあるアクセスを防ぐことができます。 これらの条件には、ユーザー ID やトークンの盗難を予防するために、デバイスのコンプライアンスや場所などが含まれる場合があります。 Global Secure Access では、条件付きアクセスと継続的アクセス評価において、準拠しているネットワークという概念が導入されています。 この準拠しているネットワークのチェックにより、ユーザーが特定のテナントの検証済みネットワーク接続モデルから接続していて、管理者によって適用されるセキュリティ ポリシーに準拠していることを確認できます。
構成されたリモート ネットワークの内側にあるデバイスやユーザーにインストールされた グローバル セキュア アクセス クライアントを使用すると、管理者は高度な条件付きアクセス制御を使用して、準拠ネットワークの背後にあるリソースをセキュリティで保護できます。 この準拠ネットワーク機能により、管理者は組織の場所の IP アドレスすべての一覧を維持する必要がなくなり、管理と保守が容易になります。 管理者は、セキュリティを確保するために、組織の VPN エグレス ポイントを介してトラフィックを折り返す必要はありません。
現在、SharePoint Online では、準拠ネットワーク機能を使用した継続的アクセス評価 (CAE) がサポートされています。 CAE を使用すると、トークンの盗難やリプレイ攻撃に対する保護を使用して多層防御を適用できます。
この準拠しているネットワークのチェックは、各テナントに固有です。
- このチェックを使用すると、Microsoft の Global Secure Access サービスを使用している他の組織はリソースにアクセスできません。
- たとえば、Contoso は、Exchange Online や SharePoint Online などのサービスを準拠しているネットワークのチェックの背後で保護し、Contoso ユーザーのみがこれらのリソースにアクセスできるようにすることができます。
- 準拠しているネットワークのチェックを Fabrikam のような別の組織が使用していた場合、Contoso の準拠しているネットワークのチェックには合格しません。
準拠しているネットワークは、Microsoft Entra で構成できる IPv4、IPv6、または地理的な場所とは異なります。 管理者による維持管理は必要ありません。
前提条件
- Global Secure Access プレビュー機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
- グローバル セキュア アクセス プレビュー機能を管理するためのグローバル セキュア アクセス管理者ロール。
- 条件付きアクセス ポリシーとネームド ロケーションを作成および操作する条件付きアクセス管理者。
- プレビューには、Microsoft Entra ID P1 ライセンスが必要です。 必要な場合は、こちらでライセンスを購入するか試用版ライセンスを取得できます。
- Microsoft 365 トラフィック転送プロファイルのご使用には、Microsoft 365 E3 ライセンスをお勧めします。
既知の制限事項
- 現在、SharePoint Online では、準拠ネットワーク機能を使用した継続的アクセス評価がサポートされています。
- プライベート アクセス アプリでは、準拠ネットワークのチェックはサポートされていません。
- 準拠しているネットワークの場所の条件は、モバイル デバイス管理 (MDM) に登録されていないデバイスではサポートされません。 準拠しているネットワークの場所の条件を使用して条件付きアクセス ポリシーを構成すると、MDM に登録されていないデバイスを使用するユーザーが影響を受ける可能性があります。 これらのデバイスのユーザーは、条件付きアクセス ポリシーのチェックに失敗し、ブロックされる可能性があります。
- 準拠しているネットワークの場所の条件を使用する場合は、影響を受けるユーザーまたはデバイスを除外してください。
条件付きアクセスの Global Secure Access シグナリングを有効にする
準拠しているネットワークのチェックが行われるようにするために必要な設定を有効にするには、管理者は次の手順のようにする必要があります。
- Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
- [Global Secure Access (プレビュー)]>[グローバル設定]>[セッション管理][アダプティブ アクセス] の順に移動します。
- [条件付きアクセスの Global Secure Access シグナリングを有効にする] トグルを選択します。
- [保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。
- 場所の種類が [ネットワーク アクセス] である [All Compliant Network locations] (準拠しているすべてのネットワークの場所) という場所があることを確認します。 組織は必要に応じて、この場所を信頼済みとしてマークできます。
注意事項
準拠しているネットワークのチェックに基づく条件付きアクセス ポリシーがアクティブになっている組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。
準拠ネットワークの内部にあるリソースを保護する
準拠ネットワークの条件付きアクセス ポリシーを使用して、Microsoft 365 とサード パーティのリソースを保護できます。
以下の例で、このタイプのポリシーを示します。 さらに、SharePoint Online の CAE を使用してトークンの盗難やリプレイ攻撃に対する保護を適用することもできます。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- 保護>条件付きアクセス を参照します。
- [新しいポリシーの作成] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[対象] で、[アプリの選択] を選択します。
- Office 365 Exchange Online、Office 365 SharePoint Online、またはサードパーティの SaaS アプリのいずれかを選択します。
- アプリ ピッカーの特定の Office 365 クラウド アプリは現在サポートされていないため、このクラウド アプリを選択しないでください。
- [条件]>[Location](場所) で
- [構成] を [はい] に設定します。
- [Include](含める) で、 [すべての場所] を選択します。
- [除外] で、[選択した場所] を選択します
- [All Compliant Network locations] (準拠しているすべてのネットワークの場所) という場所を選択します。
- [選択] を選択します。
- [アクセス制御] で、次のようにします。
- [許可] を選択し、[アクセスのブロック] を選択して、さらに [選択] を選択します。
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。
- [作成] ボタンを選択して、ポリシーを作成および有効化します。
Note
Global Secure Access トラフィック プロファイルと共に、すべてのクラウド アプリに対して準拠ネットワークにアクセスすることを要求する条件付きアクセス ポリシーを使用できます。 すべての準拠ネットワークの場所とすべてのクラウド アプリを使用してポリシーを設定する場合、除外する必要はありません。
特定の準拠ネットワークを必要とする場合、トラフィック プロファイルは条件付きアクセスの適用から内部的に除外されます。 この除外により、Global Secure Access クライアントは必要なリソースにアクセスできます。
除外されたトラフィック プロファイルは、次のアプリケーション ZTNA ネットワーク アクセス トラフィック プロファイルとしてサインイン ログに表示されます。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスの復旧手順を実行できます。
- 詳しくは、「Microsoft Entra ID で緊急アクセス用管アカウントを管理する」をご覧ください。
- サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。 プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。 サービス プリンシパルによる呼び出しは、ユーザーをスコープとする条件付きアクセス ポリシーではブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。
準拠しているネットワークのポリシーを試す
- グローバル セキュア アクセス クライアントがインストールされ、実行されているエンド ユーザー デバイスで、https://outlook.office.com/mail/ または
https://yourcompanyname.sharepoint.com/
から、リソースにアクセスできます。 - Windows トレイでグローバル セキュア アクセス クライアントを右クリックし、[一時停止] を選択してアプリケーションを一時停止します。
- https://outlook.office.com/mail/ または
https://yourcompanyname.sharepoint.com/
を参照すると、[現時点ではこれにはアクセスできません] というエラー メッセージが表示されてリソースにアクセスできません。
トラブルシューティング
新しい名前付きの場所が Microsoft Graph を使用して自動的に作成されたことを確認します。
GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations
利用条件
Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項、Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。