条件付きアクセスポリシーでの場所の条件の使用

条件付きアクセス ポリシーは、その最も基本的なものが、シグナルを結合する if-then ステートメントで、決定を行い、組織のポリシーを適用します。 これらのシグナルの 1 つが場所です。

Conceptual Conditional signal plus decision to get enforcement

ブログ記事「Microsoft Entra ID が IPv6 に対応」に示されているように、Microsoft Entra サービスで IPv6 がサポートされるようになりました。

組織は次のような一般的なタスクに対してこれらの場所を使用できます。

  • ユーザーが社内ネットワークから離れているときにサービスにアクセスする場合に、多要素認証を必須にする。
  • 組織が活動していない特定の国または地域からサービスにアクセスするユーザーのアクセスをブロックします。

場所は、クライアントが Microsoft Entra ID に提供するパブリック IP アドレスまたは Microsoft Authenticator アプリによって提供される GPS 座標を使って見つけられます。 条件付きアクセス ポリシーは、既定ではすべての IPv4 アドレスおよび IPv6 アドレスに適用されます。 IPv6 サポートの詳細については、「Microsoft Entra ID での IPv6 サポート」を参照してください。

ヒント

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。

ネームド ロケーション

[保護]>[条件付きアクセス]>[ネームド ロケーション] の下に場所が存在します。 これらの名前付きネットワークの場所には、組織の本社のネットワーク範囲、VPN ネットワークの範囲、またはブロックする範囲などが含まれることがあります。 ネームド ロケーションは、IPv4 および IPv6 アドレスの範囲、または国/リージョンによって定義されます。

IPv4 および IPv6 アドレス範囲

IPv4/IPv6 アドレス範囲でネームド ロケーションを定義するには、以下を指定する必要があります。

  • 場所の名前
  • 1 つ以上の IP 範囲。
  • 信頼できる場所としてマークする (省略可能)。

New IP locations

IPv4/IPv6 アドレス範囲で定義されるネームド ロケーションには、次の制限事項が適用されます。

  • 最大 195 個のネームド ロケーションを構成する。
  • ネームド ロケーションごとに最大 2000 個の IP 範囲を構成する。
  • IPv4 と IPv6 の両方の範囲がサポートされる。
  • 範囲に含まれる IP アドレスの数に制限がある。 IP 範囲を定義するときに、/8 より大きい CIDR マスクのみが許可されます。

信頼できる場所

組織のパブリック ネットワーク範囲などの場所は、信頼済みとしてマークできます。 このマーキングは、複数の方法で機能によって使用されます。

  • 条件付きアクセス ポリシーにこれらの場所を含めたり除外したりできます。
  • 信頼できるネームド ロケーションからのサインインにより、Microsoft Entra ID Protection のリスク計算の精度が向上し、信頼済みとしてマークされた場所から認証するときにユーザーのサインイン リスクが軽減されます。
  • 信頼できるとしてマークされた場所は削除できません。 削除を試みる前に、信頼済みの指定を削除してください。

警告

ネットワークを認識し、信頼済みとしてマークしても、適用されるポリシーから除外する必要があるわけではありません。 明示的に検証することは、ゼロ トラスト アーキテクチャの中心原則です。 ゼロ トラストや、組織で基本原則に従うためのその他の方法について、詳しくは「ゼロトラスト ガイダンス センター」を参照してください。

国/地域

組織は、IP アドレスまたは GPS 座標で国またはリージョンの場所を特定できます。

ネームド ロケーションを国/リージョン別に定義するには、以下を指定する必要があります。

  • 場所の名前
  • 場所を IP アドレスで決定するか GPS 座標で決定するかを選択する。
  • 1 つ以上の国/リージョンを追加する。
  • 必要に応じて [不明な国/地域を含める] を選択する。

Country as a location

[IP アドレスによる場所の特定] を選択すると、ユーザーがサインインしているデバイスの IP アドレスが収集されます。 ユーザーがサインインすると、Microsoft Entra ID によってユーザーの IPv4 または IPv6 アドレスが国または地域に解決され (2023 年 4 月 3 日より)、マッピングが定期的に更新されます。 組織は、国/リージョンで定義されたネームド ロケーションを使用して、取引を行っていない国/リージョンからのトラフィックをブロックできます。

[GPS 座標による場所の特定] を選択した場合、ユーザーはモバイル デバイスに Microsoft Authenticator アプリをインストールする必要があります。 システムは 1 時間ごとに、ユーザーの Microsoft Authenticator アプリにアクセスしてユーザーのモバイル デバイスの GPS の場所を収集します。

ユーザーは初めて Microsoft Authenticator アプリから自分の場所を共有する必要があるときに、アプリで通知を受け取ります。 ユーザーはアプリを開いて、場所のアクセス許可を付与する必要があります。 次の 24 時間、ユーザーがまだリソースにアクセスしていて、バックグラウンドで実行するアプリのアクセス許可を付与している場合、デバイスの場所は 1 時間に 1 回暗黙的に共有されます。

  • 24 時間後、ユーザーはアプリを開いて通知を承認する必要があります。
  • Microsoft Authenticator アプリで番号照合または追加のコンテキストを有効にしているユーザーの場合は、通知の自動受信が行われないため、アプリを開いて通知を承認する必要があります。

ユーザーが自分の GPS の場所を共有するたびに、アプリはジェイルブレイク検出を実行します (Intune MAM SDK と同じロジックを使用)。 デバイスがジェイルブレイクされた場合、その場所は有効とは見なされず、ユーザーにはアクセス権が付与されません。 Android 上の Microsoft Authenticator アプリでは、Google Play Integrity API を使用してジェイルブレイク検出を容易にします。 Google Play Integrity API が使用できない場合、要求は拒否され、条件付きアクセス ポリシーが無効になっていない限り、ユーザーは要求されたリソースにアクセスできません。 Microsoft Authenticator アプリの詳細については、「Microsoft Authenticator アプリに関する一般的な質問」の記事を参照してください。

Note

レポート専用モードの GPS ベースのネームド ロケーションを使用した条件付きアクセス ポリシーでは、ユーザーのサインインがブロックされていない場合でも、ユーザーに GPS の場所の共有を求めます。

GPS の場所は、パスワードレスの認証方法では機能しません。

複数の条件付きアクセス ポリシーにおいて、すべてが適用される前に、ユーザーに GPS の場所の入力が求められる場合があります。 条件付きアクセス ポリシーが適用される方法が原因で、ユーザーが場所のチェックに合格したが別のポリシーに失敗した場合、アクセスが拒否される場合があります。 ポリシー適用の詳細については、「条件付きアクセス ポリシーの構築」の記事を参照してください。

重要

ユーザーには 1 時間おきにプロンプトが届き、Authenticator アプリで Microsoft Entra ID がユーザーの位置を確認していることが知らされます。 プレビューは、この動作が容認されるか、アクセスを特定の国または地域に制限する必要がある、非常に機密性が高いアプリを保護する目的でのみ使用してください。

変更された場所での要求を拒否する

ユーザーは、iOS および Android デバイスによって報告される場所を変更できます。 そのため、Microsoft Authenticator では、場所ベースの条件付きアクセス ポリシーのセキュリティ ベースラインを更新しています。 Authenticator では、Authenticator がインストールされているモバイル デバイスの実際の GPS 位置とは異なる場所をユーザーが使用している可能性がある場合、認証が拒否されます。

Authenticator の 2023 年 11 月のリリースでは、デバイスの場所を変更するユーザーは、場所ベースの認証を試みると Authenticator で拒否メッセージを受け取ります。 2024 年 1 月以降、以前の Authenticator バージョンを実行するすべてのユーザーは、場所ベースの認証からブロックされます。

  • Android の Authenticator バージョン 6.2309.6329 以前
  • iOS の Authenticator バージョン 6.7.16 以前

以前のバージョンの Authenticator を実行しているユーザーを見つけるには、Microsoft Graph API を使用します。

不明な国またはリージョンを含める

IP アドレスによっては、特定の国またはリージョンにマップされないことがあります。 これらの IP の場所をキャプチャするには、地理的な場所を定義するときに [不明な国またはリージョンを含める] チェック ボックスをオンにします。 このオプションを使用すると、このような IP アドレスをネームド ロケーションに含めるかどうかを選択できます。 ネームド ロケーションを使用するポリシーを不明な場所に適用する場合は、この設定を使用します。

MFA の信頼できる IP の構成

また、多要素認証サービス設定で組織のローカル イントラネットを表す IP アドレス範囲を構成することもできます。 この機能を使用すると、最大 50 の IP アドレス範囲を設定できます。 IP アドレス範囲は CIDR 形式です。 詳細については、「信頼できる IP」を参照してください。

信頼できる IP が構成されている場合は、場所の条件の場所のリストに [MFA の信頼できる IP] として表示されます。

多要素認証をスキップする

多要素認証サービス設定ページで、[イントラネット内のフェデレーション ユーザーからのリクエストの場合、多要素認証をスキップする] を選択すると、社内のイントラネット ユーザーを識別できます。 この設定は、AD FS から発行された社内ネットワークの要求を信頼し、社内ネットワーク上にあるユーザーを識別するために使用する必要があることを示します。 詳細については、「条件付きアクセスを使用した信頼できる IP 機能の有効化」を参照してください。

このオプションをオンにすると、ネームド ロケーションを含む MFA の信頼できる IP が、このオプションが選択されているすべてのポリシーに適用されます。

セッションの有効期間が長いモバイルおよびデスクトップ アプリケーションの場合、条件付きアクセスは定期的に再評価されます。 既定値は 1 時間に 1 回です。 社内ネットワーク要求が最初の認証時にのみ発行される場合、信頼できる IP 範囲の一覧がない可能性があります。 この場合、ユーザーが社内ネットワーク内にまだいるかどうかを判断することは困難になります。

  1. ユーザーの IP アドレスが信頼できる IP 範囲のいずれかにあるかどうかを確認します。
  2. ユーザーの IP アドレスの最初の 3 オクテットが初期認証の IP アドレスの最初の 3 オクテットと一致するかどうかを確認します。 この IP アドレスが初期認証と比較されるのは、社内ネットワーク要求が最初に発行されて、ユーザーの場所が検証されたときです。

両方の手順が失敗した場合、ユーザーは信頼された IP 上に存在しなくなったと見なされます。

場所を定義する

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。
  3. [新しい場所] を選択します。
  4. 場所に名前を付けます。
  5. その場所または国/地域を構成する、外部からアクセス可能な特定の IPv4 アドレス範囲がわかっている場合は、 [IP 範囲] を選択します。
    1. 指定しようとしている場所の [IP 範囲] を指定するか、[国/地域] を選択します。
      • 国/地域を選択する場合、必要に応じて不明な領域を含めることもできます。
  6. [保存] を選択します。

ポリシーの場所の条件

場所の条件を構成するときに、以下を区別することができます。

  • 任意の場所
  • すべての信頼できる場所
  • 準拠しているすべてのネットワークの場所
  • 選択された場所

任意の場所

既定では、[任意の場所] を選択すると、インターネット上の任意のアドレスを意味するすべての IP アドレスにポリシーが適用されます。 この設定は、ネームド ロケーションとして設定した IP アドレスに限定されません。 [任意の場所] を選択した場合でも、特定の場所をポリシーから除外できます。 たとえば、社内ネットワーク以外のすべての場所に範囲を設定するには、信頼できる場所を除くすべての場所にポリシーを適用します。

すべての信頼できる場所

このオプションの適用対象:

  • 信頼できる場所としてマークされているすべての場所。
  • 構成されている場合、MFA の信頼できる IP

多要素認証の信頼済み IP

多要素認証のサービス設定の信頼できる IP セクションの使用は推奨されなくなりました。 このコントロールは IPv4 アドレスのみを受け入れ、「Microsoft Entra 多要素認証の設定を構成する」の記事で取り上げられている特定のシナリオでのみ使用する必要があります

これらの信頼できる IP が構成されている場合は、場所の条件の場所のリストに [MFA の信頼できる IP] として表示されます。

準拠しているすべてのネットワークの場所

Global Secure Access プレビュー機能にアクセスできる組織には、組織のセキュリティ ポリシーに準拠するユーザーとデバイスで構成される別の場所が一覧表示されます。 詳細については、「条件付きアクセスのために Global Secure Access のシグナリングを有効にする」セクションを参照してください。 条件付きアクセス ポリシーと共に使用して、リソースへのアクセスについて準拠しているネットワークのチェックを実行できます。

選択された場所

このオプションを使用すると、ネームド ロケーションを 1 つ以上選択できます。 この設定を適用するポリシーの場合、ユーザーは選択したいずれかの場所から接続する必要があります。 名前付きネットワークを選択すると、名前付きネットワークの一覧が表示される選択コントロールが開きます。 この一覧には、ネットワークの場所が信頼済みとマークされているかどうかも表示されます。

IPv6 トラフィック

条件付きアクセス ポリシーは、すべての IPv4 およびIPv6 トラフィックに適用されます (2023 年 4 月 3 日より)。

Microsoft Entra サインイン アクティビティ レポートでの IPv6 トラフィックの特定

テナント内の IPv6 トラフィックを探索するには、Microsoft Entra サインイン アクティビティ レポートに移動します。 アクティビティ レポートを開いた後、フィールドに "IP アドレス" 列とコロン (:) を追加します。 このフィルターは、IPv6 トラフィックと IPv4 トラフィックの区別に役立ちます。

また、レポート内の行をクリックし、サインイン アクティビティの詳細の [場所] タブに移動して、クライアント IP を見つけることもできます。

A screenshot showing Microsoft Entra sign-in logs and an IP address filter for IPv6 addresses.

Note

サービス エンドポイントからの IPv6 アドレスは、トラフィックの処理方法により、サインイン ログに失敗して表示される場合があります。 サービス エンドポイントはサポートされていないことに注意することが重要です。 ユーザーにこれらの IPv6 アドレスが表示されている場合は、仮想ネットワーク サブネットの構成からサービス エンドポイントを削除します。

知っておくべきこと

クラウド プロキシと VPN

クラウドでホストされているプロキシまたは VPN ソリューションを使用する場合、ポリシーの評価中に Microsoft Entra ID が使用する IP アドレスは、プロキシの IP アドレスです。 ユーザーのパブリック IP アドレスを含む X-Forwarded-For (XFF) ヘッダーは、信頼できるソースから送信されたという検証が行われないために IP アドレスの偽装方法となることが多く、使用されません。

クラウド プロキシが配置されている場合は、Microsoft Entra ハイブリッド参加済みまたは準拠デバイスを必要とするポリシーの管理が容易になります。 クラウドでホストされているプロキシまたは VPN ソリューションで使用される IP アドレスの一覧を最新の状態に保つことはほとんど不可能です。

組織で Global Secure Acces を利用してソース IP の復元を有効にし、このアドレスの変更を回避し、管理を簡素化することをお勧めします。

場所が評価されるタイミング

条件付きアクセス ポリシーは、次のときに評価されます。

  • ユーザーが Web アプリ、モバイルまたはデスクトップ アプリケーションに最初にサインインするとき。
  • 最新の認証を使用するモバイルまたはデスクトップ アプリケーションが、更新トークンを使用して新しいアクセス トークンを取得するとき。 既定で、この検査が行われるのは 1 時間に 1 回です。

つまり、最新の認証を使用しているモバイル アプリケーションおよびデスクトップ アプリケーションの場合、この検査で場所の変更が検出されるのは、ネットワークの場所を変更してから 1 時間以内になります。 最新の認証を使用していないモバイルおよびデスクトップ アプリケーションの場合、ポリシーは、トークン要求ごとに適用されます。 要求の頻度は、アプリケーションによって異なります。 同様に、Web アプリケーションについては、ポリシーは、Web アプリケーションへの最初のサインイン時に適用され、セッションの有効期間にわたって有効です。 アプリケーションによってセッションの有効期間が異なるため、ポリシー評価の間隔が異なります。 ポリシーは、アプリケーションが新しいサインイン トークンを要求するたびに適用されます。

既定で、Microsoft Entra ID は 1 時間ごとにトークンを発行します。 ユーザーが社内ネットワークから離れた後、1 時間以内に最新の認証を使用するアプリケーションに対してポリシーが適用されます。

ユーザーの IP アドレス

ポリシー評価で使用される IP アドレスは、ユーザーのパブリック IPv4 または IPv6 アドレスです。 プライベート ネットワーク上のデバイスの場合、この IP アドレスはイントラネット上のユーザー デバイスのクライアント IP ではなく、ネットワークがパブリック インターネットに接続するために使用するアドレスです。

場所をブロックする場合

場所の条件を使用してアクセスをブロックするポリシーは制限が厳しいと見なされ、十分なテストを行った後、慎重に実行する必要があります。 場所の条件を使用して認証をブロックする例には、次のようなものがあります。

  • 組織がビジネスを行っていない国/リージョンをブロックする。
  • 次のような特定の IP 範囲をブロックする:
    • ファイアウォール ポリシーを変更する前の既知の悪意のある IP。
    • 非常に機密性の高いまたは特権のあるアクションとクラウド アプリケーションの場合。
    • 会計または給与計算アプリケーションへのアクセスなど、ユーザー固有の IP 範囲に基づく。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

  • 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスの復旧手順を実行できます。
  • サービス アカウントサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。 プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。 サービス プリンシパルによる呼び出しは、ユーザーをスコープとする条件付きアクセス ポリシーではブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
    • 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。

ネームド ロケーションの一括アップロードとダウンロード

一括更新でネームド ロケーションを作成または更新する場合は、IP 範囲を含む CSV ファイルをアップロードまたはダウンロードできます。 アップロードによって、一覧内の IP 範囲がファイルの IP 範囲に置き換えられます。 ファイルの各行には、CIDR 形式の IP アドレス範囲が 1 つ含まれています。

API のサポートと PowerShell

ネームド ロケーションに対して Graph API のプレビュー バージョンを利用できます。詳細については、namedLocation API を参照してください。

次のステップ