条件付きアクセス テンプレート

条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法を提供します。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせて、最大限の保護を提供するように設計されています。

テンプレートのカテゴリ

条件付きアクセス ポリシー テンプレートは、次のカテゴリに分類されます。

安全な基盤

Microsoft では、すべての組織のベースとして、これらのポリシーを推奨しています。 これらのポリシーはグループとして展開することをお勧めします。

• 管理者に多要素認証を要求する
• セキュリティ情報登録のセキュリティ保護
• レガシー認証をブロックする
• Microsoft 管理 ポータルにアクセスする管理者には多要素認証を要求する
• すべてのユーザーに多要素認証を要求する
• Azure の管理に多要素認証を要求する
• すべてのユーザーに対して準拠しているか、Microsoft Entra ハイブリッド参加済みのデバイス、または多要素認証を要求する

ゼロ トラスト

グループとしてのこれらのポリシーは、ゼロ トラスト アーキテクチャ のサポートに役立ちます。

• 管理者に多要素認証を要求する
• セキュリティ情報登録のセキュリティ保護
• レガシ認証をブロックする
• すべてのユーザーに多要素認証を要求する
• ゲスト アクセスに多要素認証を要求する
• Azure の管理に多要素認証を要求する
• 危険なサインインに多要素認証を要求するMicrosoft Entra ID P2 を要求する
• 危険性の高いユーザーにパスワードの変更を要求するMicrosoft Entra ID P2 を要求する
• 不明なまたはサポートされていないデバイス プラットフォームのアクセスをブロックする
• 永続的なブラウザー セッションなし
• 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する
• すべてのユーザーに対して準拠しているか、Microsoft Entra ハイブリッド参加済みのデバイス、または多要素認証を要求する
• Microsoft 管理 ポータルにアクセスする管理者には多要素認証を要求する
• インサイダー リスクのあるユーザーのアクセスをブロックする (プレビュー)Microsoft Purview が必要

リモート ワーク

これらのポリシーは、リモート ワーカーを使用して組織をセキュリティで保護するのに役立ちます。

• セキュリティ情報登録のセキュリティ保護
• レガシ認証をブロックする
• すべてのユーザーに多要素認証を要求する
• ゲスト アクセスに多要素認証を要求する
• 危険なサインインに多要素認証を要求するMicrosoft Entra ID P2 を要求する
• 危険性の高いユーザーにパスワードの変更を要求するMicrosoft Entra ID P2 を要求する
• 管理者に準拠しているか Microsoft Entra ハイブリッド参加済みのデバイスを要求する
• 不明なまたはサポートされていないデバイス プラットフォームのアクセスをブロックする
• 永続的なブラウザー セッションなし
• 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する
• アンマネージド デバイスに対してアプリケーションによって適用される制限を使用する

管理者の保護

これらのポリシーは、環境内の高い特権を持つ管理者に送信され、侵害によって最も損害が発生する可能性があります。

• 管理者に多要素認証を要求する
• レガシ認証をブロックする
• Azure の管理に多要素認証を要求する
• 管理者に準拠しているか Microsoft Entra ハイブリッド参加済みのデバイスを要求する
• フィッシングに強い多要素認証を管理者に要求する

新しい脅威

このカテゴリのポリシーは、侵害から保護するための新しい方法を提供します。

• フィッシングに強い多要素認証を管理者に要求する

これらのテンプレートは、Microsoft Entra 管理センター>保護>条件付きアクセス>テンプレートから新しいポリシーを作成するにあります。 [表示数を増やす] を選択して、各シナリオのすべてのポリシー テンプレートを表示します。

重要

条件付きアクセス テンプレート ポリシーは、ポリシーを作成しているユーザーのみをテンプレートから除外します。 組織で他のアカウントを除外する必要がある場合は、作成された後にポリシーを変更できます。 これらのポリシーは、Microsoft Entra 管理センター>保護>条件付きアクセス>ポリシー で確認できます。 ポリシーを選択してエディターを開き、除外されるユーザーとグループを変更して、除外するアカウントを選択します。

既定では、各ポリシーは レポート専用モード で作成されるため、意図した結果を得るために、各ポリシーを有効にする前に、組織で使用状況をテストおよび監視することをお勧めします。

組織は、個々のポリシー テンプレートを選択できるほか、次のことが可能です。

• ポリシー設定の概要を表示する。
• 組織のニーズに基づいてカスタマイズするために編集する。
• プログラムのワークフローで使用するために JSON 定義をエクスポートする。
  • これらの JSON 定義は、編集した後、[ポリシー ファイルのアップロード] オプションを使用して、メインの [条件付きアクセス ポリシー] ページでインポートできます。

その他の一般的なポリシー

• 場所ごとにアクセスをブロックする
• 特定のアプリ以外のアクセスをブロックする

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

• 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスの復旧手順を実行できます。
  • 詳しくは、「Microsoft Entra ID で緊急アクセス用管アカウントを管理する」をご覧ください。
• サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。 プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。 サービス プリンシパルによる呼び出しは、ユーザーをスコープとする条件付きアクセス ポリシーではブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
  • 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。

次のステップ

• 条件付きアクセスの What If ツールを使用してサインイン動作をシミュレートします。

• 条件付きアクセスのレポート専用モードを使用して、新しいポリシー決定の結果を判断します。