[場所ポリシーを厳密に適用する] は、条件付きアクセス ポリシーで使用される、継続的アクセス評価 (CAE) の新しい適用モードです。 この新しいモードではリソースの保護が提供され、リソース プロバイダーによって検出された IP アドレスが条件付きアクセス ポリシーによって許可されていない場合は、すぐにアクセスが停止されます。 このオプションは、CAE の場所の適用における最も高度なセキュリティ モダリティであり、管理者はネットワーク環境での認証とアクセス要求のルーティングについて理解している必要があります。 Outlook メール クライアントや Exchange Online などの CAE 対応クライアントとリソース プロバイダーが場所の変更を評価する方法については、 継続的アクセス評価の概要 を参照してください。
| 場所の適用モード | 推奨されるネットワーク トポロジ | リソースによって検出された IP アドレスが許可リストにない場合 | メリット | 構成 |
|---|---|---|---|---|
| 標準 (既定) | すべてのトポロジに適切 | 許可された IP アドレスが Microsoft Entra ID によって検出された場合にのみ、有効期間の短いトークンが発行されます。 それ以外の場合は、アクセスがブロックされます | CAE の適用が生産性に影響を及ぼす分割トンネル ネットワーク デプロイでは、CAE を適用する前の場所の検出モードにフォールバックします。 CAE では、引き続き他のイベントとポリシーが適用されます。 | なし (既定の設定) |
| 場所ポリシーを厳密に適用する | エグレス IP アドレスが、Microsoft Entra ID とすべてのリソース プロバイダー トラフィックの両方に対して専用であり、列挙可能 | アクセスはブロックされます | 最も安全ですが、ネットワーク パスを十分に理解している必要があります | 1.少ない母集団で IP アドレスの前提条件をテストする 2. [セッション制御] で [厳密に適用する] を有効にする |
厳密に適用される場所ポリシーを構成する
手順 1 - ターゲット ユーザーに対して、条件付きアクセスの場所ベースのポリシーを構成する
管理者は、厳密な場所の適用を必要とする条件付きアクセス ポリシーを作成する前に、「 条件付きアクセスの場所ベースのポリシー」で説明されているようなポリシーを快適に使用する必要があります。 次の手順に進む前に、ユーザーのサブセットでこのようなポリシーをテストする必要があります。 厳密な適用を有効にする前にテストしておくと、管理者は、認証時に Microsoft Entra ID によって表示される許可された IP アドレスと実際の IP アドレスの不一致を回避できます。
手順 2 - ユーザーの小さなサブセットでポリシーをテストする
![[場所ポリシーを厳密に適用する] が有効になっている条件付きアクセス ポリシーを示すスクリーンショット。](media/concept-continuous-access-evaluation-strict-enforcement/conditional-access-policy-strictly-enforce-location-policies.png)
テスト ユーザーのサブセットに対して厳密な場所の適用を必要とするポリシーを有効にした後、Microsoft Entra サインイン ログのフィルター IP アドレス (リソースによって表示) を 使用してテスト エクスペリエンスを検証します。 この検証により、管理者は、CAE 対応リソース プロバイダーによって参照される許可されていない IP を使用するユーザーが、厳密な場所の適用によってブロックされる可能性があるシナリオを見つけることができます。
管理者は、厳密な場所の適用を必要とする条件付きアクセス ポリシーを有効にする前に、次のことを確認する必要があります。
- Microsoft Entra ID に対するすべての認証トラフィックと、リソース プロバイダーへのアクセス トラフィックが既知の専用エグレス IP からのものであることを確認する。
- Exchange Online、Teams、SharePoint Online、Microsoft Graph など
- ユーザーが Microsoft Entra ID およびリソース プロバイダーにアクセスできるすべての IP アドレスが、 IP ベースの名前付き場所に含まれていることを確認します。
- Global Secure Access を介して Microsoft 365 以外のアプリケーションにトラフィックが送信されていないことを確認する。
- これらの Microsoft 365 以外のアプリケーションでは、ソース IP の復元はサポートされていません。 Global Secure Access で厳密な場所の適用を有効にすると、ユーザーが信頼できる IP の場所にいる場合でもアクセスがブロックされます。
- 条件付きアクセス ポリシーを調べて、CAE をサポートしないポリシーがないことを確認する。 詳細については、「 CAE でサポートされる条件付きアクセス ポリシー」を参照してください。
管理者がこの検証を実行しない場合、ユーザーに悪影響が及ぶおそれがあります。 Microsoft Entra ID または CAE でサポートされているリソースへのトラフィックが共有または定義不可のエグレス IP を介している場合は、条件付きアクセス ポリシーで厳密な場所の適用を有効にしないでください。
手順 3 - CAE ブックを使用して、ネームド ロケーションに追加する必要がある IP アドレスを特定する
まだ作成していない場合は、パブリック テンプレート "Continuous Access Evaluation Insights" を使用して新しい Azure ブックを作成し、Microsoft Entra ID で表示される IP アドレスと IP アドレス (リソースによって表示) の間の IP 不一致を特定します。 この場合は、スプリット トンネル ネットワーク構成がある可能性があります。 厳密な場所の適用を有効にしたときにユーザーが誤ってロックアウトされないようにするために、管理者は次のことを行う必要があります。
CAE ブックで特定された IP アドレスを調査して特定します。
既知の組織のエグレス ポイントに関連付けられているパブリック IP アドレスを、定義された 名前付き場所に追加します。
次のスクリーンショットは、リソースへのクライアントのアクセスがブロックされている例を示しています。 このブロックは、CAE の厳密な場所の適用がトリガーされ、クライアントのセッションを取り消すことを要求するポリシーが原因です。
この動作は、サインイン ログで確認できます。 (リソースによって表示される) IP アドレスを探し、ユーザーの条件付きアクセスから予期しないブロックが発生した場合に、この IP を名前付き場所に追加することを調査します。
[条件付きアクセス ポリシーの詳細] タブを見ると、ブロックされたサインイン イベントの詳細が表示されます。
手順 4 - デプロイを続行する
ターゲット ユーザー ベース全体に場所ポリシーが厳密に適用されるまで、ユーザーのグループを拡張して手順 2 と 3 を繰り返します。 ユーザー エクスペリエンスに影響を与えないように慎重にロールアウトします。
サインイン ログを使用したトラブルシューティング
管理者はサインイン ログを調査して、IP アドレスを持つケースを見つけることができます (リソースによって表示されます)。
- Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。
- Entra ID>Monitoring & health>サインイン ログを閲覧します。
- フィルターと列を追加して不要な情報を除外し、確認すべきイベントを見つけます。
(リソースによって表示される) IP アドレス列を追加し、空白の項目を除外してスコープを絞り込みます。 Microsoft Entra ID によって表示される IP がリソースによって表示 される IP アドレスと一致する場合、(リソースによって表示される) IP アドレスは空白になります。
次の例では、IP アドレス (リソースによって表示される)に設定されたフィルターが空ではありません。
初期認証
CAE トークンを使用した認証が成功します。
(リソースによって表示される) IP アドレスは、Microsoft Entra ID で表示される IP アドレスとは異なります。 リソースによって表示される IP アドレスは既知のものですが、リソースによって表示される IP アドレスの再評価のために、リソースによってユーザーがリダイレクトされるまで、適用は行われません。
厳密な場所の適用がリソース レベルで適用されないため、Microsoft Entra ID 認証は成功します。
再評価のためのリソース リダイレクト
認証が失敗し、CAE トークンが発行されません。
(リソースによって表示される) IP アドレス は、Microsoft Entra ID で表示される IP とは異なります。
(リソースによって表示される) IP アドレスが条件付きアクセスの既知の名前付き場所でないため、認証は成功しません。