Private Access アプリに条件付きアクセス ポリシーを適用する
Microsoft Entra Private Access アプリに条件付きアクセス ポリシーを適用することは、内部のプライベート リソースにセキュリティ ポリシーを適用する強力な方法です。 グローバル セキュア アクセス (プレビュー) からクイック アクセス アプリと Private Access アプリに条件付きアクセス ポリシーを適用できます。
この記事では、クイック アクセス アプリと Private Access アプリに条件付きアクセス ポリシーを適用する方法について説明します。
前提条件
- Global Secure Access プレビュー機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
- グローバル セキュア アクセス プレビュー機能を管理するためのグローバル セキュア アクセス管理者ロール。
- 条件付きアクセス ポリシーを作成して操作する条件付きアクセス管理者。
- クイック アクセスまたは Private Access を構成してある必要があります。
- プレビューには、Microsoft Entra ID P1 ライセンスが必要です。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
- 現時点では、Private Access トラフィックを取得するには、グローバル セキュア アクセス クライアントを通じて接続する必要があります。
条件付きアクセスとグローバル セキュア アクセス
グローバル セキュア アクセスから、クイック アクセス アプリまたは Private Access アプリのための条件付きアクセス ポリシーを作成できます。 グローバル セキュア アクセスからプロセスを開始すると、選択したアプリがポリシーのターゲット リソースとして自動的に追加されます。 行う必要があるのは、ポリシー設定を構成することだけです。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[セキュリティで保護されたグローバル アクセス (プレビュー)]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。
一覧からアプリケーションを選択します。
サイド メニューから [条件付きアクセス] を選びます。 既存の条件付きアクセス ポリシーが一覧に表示されます。
[新しいポリシーの作成] を選択します。 選択したアプリが [ターゲット リソース] の詳細に表示されます。
条件とアクセス制御を構成し、必要に応じてユーザーとグループを割り当てます。
カスタム属性に基づいて、アプリケーションのグループに条件付きアクセス ポリシーを適用することもできます。 詳しくは、条件付きアクセス ポリシーでのアプリケーションのフィルター (プレビュー) に関する記事をご覧ください。
割り当てとアクセス制御の例
次のポリシーの詳細を調整し、クイック アクセス アプリケーションに対して多要素認証、デバイス コンプライアンス、または Microsoft Entra ハイブリッド参加済みデバイスを要求する条件付きアクセス ポリシーを作成します。 ユーザーの割り当てでは、組織の緊急アクセス アカウントまたは非常用アアカウントをポリシーから除外します。
- [割り当て] で、[ユーザー] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [アクセス制御]>[付与] で:
- [多要素認証を必須とする]、[準拠しているとしてマーク済みであるデバイスを必須とする]、または [Microsoft Entra ハイブリッド参加済みデバイスを必須とする] を選択します
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
管理者は、レポート専用モードを使ってポリシー設定を確認した後、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスの復旧手順を実行できます。
- 詳しくは、「Microsoft Entra ID で緊急アクセス用管アカウントを管理する」をご覧ください。
- サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。 プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。 サービス プリンシパルによる呼び出しは、ユーザーをスコープとする条件付きアクセス ポリシーではブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。