条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する

条件付きアクセスでは、シグナルを解釈して、ポリシーを適用し、ユーザーにリソースへのアクセスを許可されているかどうかを判断します。 この記事では、条件付きアクセス ポリシーを外部ユーザーに適用する方法について説明します。 この記事では、条件付きアクセスで使用可能な機能である、エンタイトルメント管理にアクセスできない可能性があることを想定しています。

詳細情報:

• 条件付きアクセスとは
• 条件付きアクセスのデプロイを計画する
• エンタイトルメント管理とは

次の図は、アクセス プロセスをトリガーする条件付きアクセスへのシグナルを示しています。

開始する前に

この記事は、10 個の記事のシリーズの 7 番めです。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。

条件付きアクセス ポリシーを使用してセキュリティ プランを調整する

10 個の記事のセット内の 3 番目の記事では、セキュリティ プランの作成に関するガイダンスがあります。 そのプランを使用すると、外部アクセスのための条件付きアクセス ポリシーを作成するのに役立ちます。 セキュリティ プランの一部には、以下が含まれます。

• 簡単にアクセスするためのグループ化されたアプリケーションとリソース
• 外部ユーザーのサインイン要件

重要

内部および外部ユーザーのテスト アカウントを作成して、ポリシーをテストしてからそれらを適用してください。

記事 3「外部アクセスのセキュリティ プランを作成する」を参照してください

外部アクセスの条件付きアクセス ポリシー

以下のセクションでは、条件付きアクセス ポリシーを使用した外部アクセスの管理についてのベスト プラクティスを示します。

エンタイトルメント管理またはグループ

接続されている組織をエンタイトルメント管理で使用できない場合は、パートナー組織に Microsoft Entra セキュリティ グループまたは Microsoft 365 グループを作成します。 そのパートナーのユーザーをグループに割り当てます。 条件付きアクセス ポリシーでグループを使用できます。

詳細情報:

• エンタイトルメント管理とは
• Microsoft Entra グループとグループメンバーシップの管理
• 管理者向け Microsoft 365 グループの概要

条件付きアクセス ポリシーの作成

できるだけ少数の条件付きアクセス ポリシーを作成します。 同じアクセス要件を持つアプリケーションの場合は、それらを同じポリシーに追加します。

条件付きアクセス ポリシーは、最大 250 個のアプリケーションに適用されます。 250 個以上のアプリケーションが同じアクセス要件を持つ場合は、重複するポリシーを作成します。 たとえば、ポリシー A はアプリ 1 から 250 に適用され、ポリシー B はアプリ 251 から 500 に適用される、などです。

命名規則

ポリシーの目的を明確にする名前付け規則を使用します。 外部アクセスの例を次に示します。

• ExternalAccess_actiontaken_AppGroup
• ExternalAccess_Block_FinanceApps

特定の外部ユーザーに外部アクセスを許可する

小規模の特定のグループにアクセスを許可する必要があるシナリオがあります。

開始する前に、リソースにアクセスする外部ユーザーが含まれるセキュリティ グループを作成することをお勧めします。 「クイックスタート: Microsoft Entra ID でメンバーを含むグループを作成し、すべてのグループとメンバーを表示する」をご覧ください。

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
2. 保護>条件付きアクセス を参照します。
3. [新しいポリシーの作成] を選択します。
4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [含める] で、[すべてのゲストと外部ユーザー] を選択します。
   2. [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用のアカウントおよび外部ユーザー セキュリティ グループを選択します。
6. リソースのターゲット>リソース (以前のクラウド アプリ)で、次のオプションを選択します。
   1. [ Includeで、 すべてのリソース (旧称 "すべてのクラウド アプリ") を選択します。
   2. [除外] で、除外するアプリケーションを選択します。
7. [アクセス制御]>[許可] で、 [アクセスのブロック] 、 [選択] の順に選択します。
8. [作成] を選択して、ポリシーを作成および有効化します。

Note

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

詳細情報: Microsoft Entra ID で緊急アクセス用管アカウントを管理する

サービス プロバイダーのアクセス

外部ユーザーの条件付きアクセス ポリシーは、サービス プロバイダーのアクセスを妨げる可能性があります。たとえば、詳細な委任された管理特権などです。

詳細情報: 「詳細な委任された管理者特権 (GDAP) の概要」

条件付きアクセス テンプレート

条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法です。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせた保護を提供します。

詳細情報: 「条件付きアクセス テンプレート (プレビュー)」

次のステップ

リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。

1. Microsoft Entra ID を使用して外部アクセスに対するセキュリティ体制を決定する

2. 組織内での外部コラボレーションの現在の状態を検出する

3. リソースへの外部アクセスのセキュリティ プランを作成する

4. Microsoft Entra ID と Microsoft 365 のグループを使用して外部アクセスをセキュリティで保護する

5. Microsoft Entra B2B コラボレーションを使用して管理されたコラボレーションに移行する

6. Microsoft Entra エンタイトルメント管理を使って外部アクセスを管理する

7. 条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する (現在表示中)

8. 秘密度ラベルを使って Microsoft Entra ID 内のリソースへの外部アクセスを制御する

9. Microsoft Entra ID を使用して Microsoft Teams、SharePoint、および OneDrive for Business への外部アクセスをセキュリティで保護する

10. ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する