条件付きアクセス: 外部ユーザー向けの認証強度を要求する
認証強度は、外部ユーザーがリソースにアクセスするために完了する必要がある多要素認証 (MFA) 方法の特定の組み合わせを定義できる条件付きアクセス制御です。 この制御は、組織内の機密性の高いアプリへの外部アクセスを制限する場合に特に役立ちます。 たとえば、条件付きアクセス ポリシーを作成し、フィッシングに強い認証強度をポリシーで要求して、それをゲストと外部ユーザーに割り当てることができます。
Microsoft Entra ID には、3 つの組み込みの認証強度が用意されています。
- 多要素認証強度
- パスワードレス MFA 強度
- フィッシングに強い MFA 強度
組み込み強度のいずれかを使用するか、必要な認証方法に基づいてカスタム認証強度を作成できます。
外部ユーザーのシナリオでは、ユーザーがホーム テナントまたはリソース テナントのどちらで MFA を完了しているかにより、リソース テナントが受け入れることができる MFA 認証方法が異なります。 詳細については、「条件付きアクセスの認証強度」を参照してください。
Note
現時点では、Microsoft Entra ID で認証する外部ユーザーにのみ認証強度ポリシーを適用できます。 メールのワンタイム パスコード、SAML/WS-Fed、Google フェデレーション ユーザーの場合は、MFA 許可コントロールを使用して MFA を要求します。
MFA を信頼するためのクロステナント アクセス設定を構成する
認証強度ポリシーは、クロステナント アクセス設定の MFA 信頼設定と連携して、外部ユーザーが MFA を実行する場所と方法を決定します。 Microsoft Entra ユーザーは、まず、ホーム テナントで自分のアカウントを使って認証を行います。 その後、このユーザーがリソースへのアクセスを試みると、Microsoft Entra ID は認証強度の条件付きアクセス ポリシーを適用し、MFA 信頼が有効になっているかどうかを確認します。
- MFA 信頼が有効になっている場合、Microsoft Entra ID は、ユーザーのホーム テナントで MFA が履行されたことを示す要求がないか、ユーザーの認証セッションを確認します
- MFA 信頼が無効な場合、リソース テナントは、受け入れ可能な認証方法を使用してリソース テナントで MFA を完了するチャレンジをユーザーに提示します。
外部ユーザーが MFA 要件を満たすために使用できる認証方法は、ユーザーがホーム テナントとリソース テナントのどちらで MFA を完了しようとしているかによって違ってきます。 「条件付きアクセスの認証強度」の表を参照してください。
重要
条件付きアクセス ポリシーを作成する前に、テナント間アクセス設定を確認して、受信 MFA 信頼設定が目的どおりに構成されていることを確認してください。
認証強度を選択する
組み込みの認証強度のいずれかが目的のシナリオで機能するのか、それともカスタム認証強度を作成する必要があるのかを判断します。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[認証方法]>[認証強度] に移動します。
- 組み込みの認証強度を確認して、そのうちのいずれかが要件を満たしているかどうかを確認します。
- 別の認証方法のセットを適用する必要がある場合は、カスタム認証強度を作成します。
条件付きアクセス ポリシーを作成する
外部ユーザーに認証強度を適用する条件付きアクセス ポリシーを作成するには、次の手順を使用します。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[ポリシー] を参照します。
[新しいポリシー] を選択します。
ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
[割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
[含める] で、[ユーザーとグループを選択] をオンにし、[ゲストまたは外部ユーザー] をオンにします。
ポリシーを適用するゲストまたは外部ユーザーの種類を選択します。
[除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
[ターゲット リソース]>[クラウド アプリ] の [含める] または [除外] で、認証強度要件に含めるアプリケーションや除外するアプリケーションを選択します。
[アクセス制御]>[付与] で:
- [アクセス権の付与] を選択します。
- [認証強度を要求する] を選択し、一覧から組み込みの認証強度またはカスタム認証強度を選択します。
設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
[作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。