場所ごとにアクセスをブロックする
条件付きアクセスで場所の条件を使用すると、ユーザーのネットワークの場所に基づいて、クラウド アプリへのアクセスを制御できます。 場所の条件は、一般に、トラフィックの発信元として不適切であると組織が認識している国またはリージョンからのアクセスをブロックするために使用されます。 IPv6 サポートの詳細については、「Microsoft Entra ID での IPv6 サポート」を参照してください。
Note
条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。
- 作成する場所の種類を選びます。
- [国の場所] または [IP 範囲の場所]。
- 場所に名前を付けます。
- 指定しようとしている場所の [IP 範囲] を指定するか、[国/地域] を選択します。
- [IP 範囲] を選んだ場合は、オプションで [信頼できる場所としてマークする] を選べます。
- 国/地域を選択する場合、必要に応じて不明な領域を含めることもできます。
- [作成]
条件付きアクセスにおける場所の条件の詳細については、Microsoft Entra 条件付きアクセスの場所の条件の概要に関する記事を参照してください。
条件付きアクセス ポリシーを作成する
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[リソース] (以前の [クラウド アプリ])>[追加] で、[すべてのリソース] (以前の [すべてのクラウド アプリ]) を選択します。
- [ネットワーク] 以下は次のとおりです。
- [Configure](構成する) を [はい] に設定します
- [Include] (含める) で [Selected networks and locations] (選択されたネットワークと場所) を選択します
- 組織に対して作成したブロック対象の場所を選択します。
- [選択] をクリックします。
- [アクセス制御]> で、[アクセスのブロック] を選択し、さらに [選択] をクリックします。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。