条件付きアクセス ポリシーを構築する

「条件付きアクセスとは」の記事で説明したように、条件付きアクセス ポリシーは、割り当てとアクセス制御の if-then ステートメントです。 条件付きアクセス ポリシーはシグナルをまとめ、意思決定を行い、組織のポリシーを適用します。

組織はこれらのポリシーをどのように作成しますか? 何が必要ですか? どのように適用されますか?

複数の条件付きアクセス ポリシーは、個々のユーザーにいつでも適用できます。 この場合、適用されるすべてのポリシーが満たされている必要があります。 たとえば、あるポリシーで多要素認証が必要で、別のポリシーで準拠デバイスが必要な場合は、MFA を完了し、準拠しているデバイスを使用する必要があります。 すべての割り当ては論理的に AND されます。 複数の割り当てを構成した場合、ポリシーをトリガーするには、すべての割り当てが満たされている必要があります。

[選択したコントロールの 1 つを要求する] が選択されているポリシーの場合は、定義された順序でプロンプトが表示されます。ポリシー要件が満たされるとすぐに、アクセスが許可されます。

すべてのポリシーは、次の 2 つのフェーズで適用されます。

• フェーズ 1: セッションの詳細を収集する
  • ポリシーの評価に必要なネットワークの場所やデバイス ID など、セッションの詳細を収集します。
  • ポリシー評価のフェーズ 1 は、 レポート専用モードで有効なポリシーとポリシーに対して行われます。
• フェーズ 2: 適用
  • フェーズ 1 で収集したセッションの詳細を使用して、満たされていない要件を特定します。
  • ブロック許可制御で構成されているポリシーがある場合、ここで強制が停止され、ユーザーはブロックされます。
  • ユーザーは、ポリシーが満たされるまで、フェーズ 1 で満たされなかったより多くの許可制御要件を次の順序で完了するように求められます。
    1. 多要素認証
    2. 準拠としてマークされるデバイス
    3. Microsoft Entra ハイブリッド参加済みデバイス
    4. 承認済みクライアント アプリ
    5. アプリ保護ポリシー
    6. パスワードの変更
    7. 使用条件
    8. カスタム コントロール
  • すべての許可コントロールが満たされたら、セッション制御を適用します (アプリの適用、Microsoft Defender for Cloud Apps、トークンの有効期間)
  • ポリシー評価のフェーズ 2 は、有効になっているすべてのポリシーに対して行われます。

課題

割り当て部分は、条件付きアクセス ポリシーのユーザー、対象、場所を制御します。

ユーザーおよびグループ

ユーザーとグループは、 ポリシーが適用されたときに含めるユーザーまたは除外するユーザーを割り当てます。 この割り当てには、すべてのユーザー、特定のユーザー グループ、ディレクトリ ロール、または外部ゲスト ユーザーを含めることができます。

対象リソース

ターゲット リソース には、ポリシーの対象となるクラウド アプリケーション、ユーザー アクション、または認証コンテキストを含めたり除外したりできます。

ネットワーク

ネットワーク には、条件付きアクセス ポリシーの決定に対する IP アドレス、地域、 グローバル セキュア アクセスの準拠ネットワーク が含まれています。 管理者は、場所を定義し、組織のプライマリ ネットワークの場所と同様に信頼済みとしてマークすることができます。

条件

ポリシーには複数の 条件を含めることができます。

サインイン リスク

Microsoft Entra ID Protection を使用している組織では、そこで生成されたリスク検出が条件付きアクセス ポリシーに影響を与える可能性があります。

デバイス プラットフォーム

複数のデバイス オペレーティング システム プラットフォームを持つ組織は、異なるプラットフォームで特定のポリシーを適用する場合があります。

デバイス プラットフォームの計算に使用される情報は、変更可能なユーザー エージェント文字列などの未確認のソースから取得されます。

クライアント アプリ

ユーザーがクラウド アプリにアクセスするために使用しているソフトウェア。 たとえば、"ブラウザー" や "モバイル アプリとデスクトップ クライアント" などです。 既定では、新しく作成されたすべての条件付きアクセス ポリシーは、クライアント アプリの条件が構成されていない場合でも、すべてのクライアント アプリの種類に適用されます。

デバイスのフィルター

このコントロールを使用すると、ポリシー内の属性に基づいて特定のデバイスをターゲットにできます。

アクセス制御

条件付きアクセス ポリシーのアクセス制御部分は、ポリシーの適用方法を制御します。

付与

許可 は、管理者がアクセスをブロックまたは許可できるポリシー適用の手段を提供します。

アクセスをブロック

アクセスをブロックすると、指定した割り当て下のアクセスがブロックされます。 ブロック コントロールは強力であり、適切な知識を使用する必要があります。

アクセス権を付与する

許可コントロールは、1 つ以上のコントロールの適用をトリガーできます。

• 多要素認証を要求する
• 認証強度が必要
• デバイスを準拠として設定することが必要です (Intune)
• Microsoft Entra ハイブリッド参加済みデバイスが必要
• 承認されたクライアント アプリを要求する
• アプリの保護ポリシーを必須にする
• パスワードの変更を必須とする
• 利用規約が必須

管理者は、次のオプションを使用して、前のいずれかのコントロールまたは選択したすべてのコントロールを要求できます。 複数のコントロールの既定値は、すべてを必要とします。

• 選択したすべてのコントロール (コントロールとコントロール) を要求する
• 選択したコントロール (コントロールまたはコントロール) のいずれかを必須にする

セッション

セッション制御では、 ユーザーのエクスペリエンスを制限できます。

• アプリによって適用される制限を使用する:
  • 現在、Exchange Online と SharePoint Online でのみ動作します。
  • フルアクセスまたは制限付きアクセスを許可し、エクスペリエンスを制御するために、デバイス情報を渡します。
• アプリの条件付きアクセス制御を使用する:
  • Microsoft Defender for Cloud Apps からのシグナルを使用して、次のような操作を行います。
    • 機密ドキュメントのダウンロード、切り取り、コピー、印刷をブロックします。
    • 危険なセッション動作を監視します。
    • 機密性の高いファイルのラベル付けが必要です。
• サインインの頻度:
  • 先進認証の既定のサインイン頻度を変更する機能。
• 永続的なブラウザー セッション:
  • ユーザーがブラウザー ウィンドウを閉じてから再度開いた後もサインインしたままにできます。
• 継続的アクセス評価をカスタマイズする
• 復元の既定値群を無効にする

単純なポリシー

条件付きアクセス ポリシーを適用するには、少なくとも次のものが含まれている必要があります。

• ポリシーの名前。
• 割り当て
  • ポリシーを適用するユーザーまたはグループ。
  • ポリシーを適用するクラウド アプリまたはアクション。
• アクセス制御
  • コントロールの許可またはブロック

この記事 の一般的な条件付きアクセス ポリシーには、 ほとんどの組織にとって役に立つと考えられるいくつかのポリシーが含まれています。

関連コンテンツ

• 条件付きアクセス ポリシーを作成する

• Intune でのデバイス コンプライアンスの管理

• Microsoft Defender for Cloud Apps と条件付きアクセス