SIP ゲートウェイの動的フィルターを設定する

この記事では、条件付きアクセス ポリシーから SIP ゲートウェイを除外する方法について説明します。これは、特定の条件に基づいてorganizationのリソースへのアクセスを制御できる機能です。 SIP ゲートウェイを音声に使用し、それらのユーザーに追加のセキュリティ要件を適用したくない場合は、条件付きアクセスから SIP ゲートウェイを除外できます。 この記事では、除外グループを作成し、前提条件と共にポリシーに割り当てる手順について説明します。

この記事で説明する SIP ゲートウェイ リソースは、条件付きアクセス ポリシーから直接除外することはできません。 そのため、SIP ゲートウェイ アプリを除外するための動的アプリ フィルターアプローチについて説明します。 また、SIP Gateway アプリを除外するだけでは、SIP Gateway アプリが独自のスコープを所有せず、必要なスコープに対して Teams アプリに依存しないため、ギャップに対処できません。

前提条件

カスタム セキュリティ属性定義を追加または非アクティブ化するには、次が必要です。

• 属性割り当て管理者
• 属性定義管理者
• Microsoft Graph PowerShell を使用する場合の Microsoft Graph モジュール

Important

既定では、グローバル管理者やその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、または割り当てに対するアクセス許可がありません。

手順 1: 属性セットを追加する

1. 属性定義管理者としてMicrosoft Entra 管理センターにサインインします。

2. [Protection>Custom セキュリティ属性] を参照します。

3. [ 属性セットの追加] を選択して、新しい属性セットを追加します。

   注意

   [属性セットの追加] が無効になっている場合は、属性定義管理者ロールが割り当てられていることを確認します。 詳細については、「 カスタム セキュリティ属性のトラブルシューティング」を参照してください。

4. 名前、説明、および属性の最大数を入力します。

   先端

   属性セット名には、スペースまたは特殊文字を含めずに 32 文字を指定できます。 名前を指定したら、名前を変更することはできません。 詳細については、「 制限と制約」を参照してください。

5. 完了したら、[追加] を選択 します。

6. 新しい属性セットが属性セットの一覧に表示されます。

手順 2: カスタム セキュリティ属性定義を追加する

1. 属性定義管理者としてMicrosoft Entra 管理センターにサインインします。

2. [Protection>Custom セキュリティ属性] を参照します。

3. [ カスタム セキュリティ属性 ] ページで、既存の属性セットを選択するか、[ 属性セットの追加 ] を選択して新しい属性セットを追加します。 すべてのカスタム セキュリティ属性定義は、属性セットの一部である必要があります。

4. 選択すると、選択した属性セットが開きます。

5. [ 属性の追加] を選択して、属性セットに新しいカスタム セキュリティ属性を追加します。

6. [ 属性名 ] ボックスに、カスタム セキュリティ属性名を入力します。

   先端

   属性セット名には、スペースまたは特殊文字を含めずに 32 文字を指定できます。 名前を指定したら、名前を変更することはできません。 詳細については、「 制限と制約」を参照してください。

   

7. [ 説明 ] ボックスに、省略可能な説明を入力します。

   先端

   説明の長は 128 文字です。 必要に応じて、後で説明を変更できます。

8. [ データ型 ] ボックスの一覧から、カスタム セキュリティ属性のデータ型を選択します。

   • データ型: 説明。
   • ブール値: true または false を指定できるブール値。
   • 整数: 32 ビットの整数。
   • 文字列: X 文字の長さにできる文字列。

9. [ 複数の値の割り当てを許可する] で、[ はい ] または [いいえ] を選択します。

   • このカスタム セキュリティ属性に複数の値を割り当てるには、[ はい ] を選択します。
   • このカスタム セキュリティ属性に割り当てられる値を 1 つだけ許可するには、[ いいえ] を選択します。

10. [ 定義済みの値のみを割り当てることができる] で、[ はい ] または [いいえ] を選択 します。

    • 定義済みの値の一覧からカスタム セキュリティ属性に値を割り当てることができる場合は、[ はい] を選択します。
    • [ いいえ ] を選択すると、このカスタム セキュリティ属性にユーザー定義値または潜在的に定義済みの値が割り当てられます。

11. [ 定義済みの値のみを割り当てることを許可する ] が [はい] を選択した場合は、[ 値の追加 ] を選択して定義済みの値を追加します。 アクティブな値は、オブジェクトの割り当てに使用できます。 アクティブではない値は定義されていますが、割り当てには使用できません。

12. 完了したら、[保存] を選択 します。

13. 新しいカスタム セキュリティ属性が、カスタム セキュリティ属性の一覧に表示されます。

手順 3: SIP ゲートウェイ サービス プリンシパルをテナントに追加する

Azure Active Directory モジュールの使用:

1. 新しい管理者特権の PowerShell ウィンドウを開きます。

2. Install-Module AzureADを実行します。

3. Import-Module AzureADを実行します。

4. Connect-AzureRmAccountを実行します。

5. 管理者アカウントでサインインします。

6. 次のコマンドレットを実行します。

   Get-AzureADServicePrincipal -Filter "AppId eq '582b2e88-6cca-4418-83d2-2451801e1d26'"
   

   出力が表示されない場合は、次を実行します。

   New-AzureADServicePrincipal -AppId "582b2e88-6cca-4418-83d2-2451801e1d26"
   

7. 次のコマンドレットを実行します。

   Get-AzureADServicePrincipal -Filter "AppId eq '0ab9de21-b802-4d77-b279-1ad41ca233b4'"
   

   出力が表示されない場合は、次を実行します。

   New-AzureADServicePrincipal -AppId "0ab9de21-b802-4d77-b279-1ad41ca233b4"
   

MS Graph モジュールの使用:

1. 次のコマンドレットを実行します。

   ## SIP Gateway API:
   Get-MgServicePrincipal -Filter "AppId eq '0ab9de21-b802-4d77-b279-1ad41ca233b4'"
   New-MgServicePrincipal -AppId "0ab9de21-b802-4d77-b279-1ad41ca233b4"
   

   ## SIP Gateway UserApp:
   Get-MgServicePrincipal -Filter "AppId eq '582b2e88-6cca-4418-83d2-2451801e1d26'"
   New-MgServicePrincipal -AppId "582b2e88-6cca-4418-83d2-2451801e1d26"
   

2. これらのコマンドレットを実行すると、次の出力が表示されます。

   

デバイスの一括サインイン

デバイスに bulk-sigin を使用している場合は、この追加のサービス プリンシパル Teams SIP ゲートウェイも追加する必要があります。

##Using AzureAd Module:
Get-AzureADServicePrincipal -Filter "AppId eq '61c8fd69-c13e-4ee6-aaa6-24ff71c09bca

出力が表示されない場合は、次を実行します。

New-AzureADServicePrincipal -AppId "61c8fd69-c13e-4ee6-aaa6-24ff71c09bca"

## Using MS Graph Module:
Get-AzureADServicePrincipal -Filter "AppId eq '61c8fd69-c13e-4ee6-aaa6-24ff71c09bca
New-MgServicePrincipal -AppId "61c8fd69-c13e-4ee6-aaa6-24ff71c09bca" 

手順 4: SIP ゲートウェイにカスタム セキュリティ属性を割り当てる

1. 少なくとも条件付きアクセス管理者としてMicrosoft Entra 管理センターにサインインします。

2. [Identity>Applications>Enterprise アプリケーション] を参照します。

3. すべてのフィルターをクリアします。

4. SIP ゲートウェイ API (0ab9de21-b802-4d77-b279-1ad41ca233b4) を検索して選択します。

5. [ 管理>Custom セキュリティ属性] で、[ 割り当ての追加] を選択します。

6. [ 属性セット] で、 手順 1 で作成した属性セットを選択します。

7. [ 属性名] で、 手順 2 で作成した属性名を選択します。

8. [ 割り当てられた値] で [ 値の追加] を選択し、一覧から値を選択し (この例では requireMFA)、[完了] の順に選択 します。

   

9. [保存] を選択します。

10. SIP Gateway UserApp (582b2e88-6cca-4418-83d2-2451801e1d26) の場合と同じ手順に従います。

11. デバイスに一括サインインを使用している場合は、Teams SIP Gateway (61c8fd69-c13e-4ee6-aaa6-24ff71c09bca) と同じ手順に従います。

手順 5: 条件付きアクセス ポリシーからこの属性を除外する

1. 少なくとも条件付きアクセス管理者としてMicrosoft Entra 管理センターにサインインします。

2. [Protection>Conditional Access] を参照します。

3. 変更するポリシーを選択します。

4. [ ターゲット リソース] で、次のオプションを選択してこのフィールドをオートフィルします。

   • [ このポリシーが適用される内容の選択 ] ボックスの一覧 で、[クラウド アプリ] を選択します。
   • [ 含める ] タブで、[ すべての アプリ] オプションを選択します。
   • [除外] タブを [ 除外 ] に変更し 、[除外されたクラウド アプリの選択] で [Microsoft Teams サービス ] を検索し、[ 選択] をクリックします。

5. [ フィルターの編集] を選択します。

6. [ フィルターの編集] ページで、[ 構成] を[はい] に設定します。

7. 前に作成した属性 (この場合は "exclAttrAllowMultiple") を選択します。

8. [演算子] を [含む] に設定します。

9. 手順 4 で SIP ゲートウェイ アプリに割り当てられた値に値を設定します (この場合はMFA が必要です)。

   

10. [ 完了] を選択します。

11. 設定を確認して確認します。

    

12. [ 保存] を 選択してポリシーを有効にします。

関連記事

• SIP ゲートウェイの構成
• SIP ゲートウェイの計画