グローバル セキュア アクセスで条件付きアクセスを使用する

  • 10 分

グローバル セキュリティで保護されたアクセスをデプロイした後は、条件付きアクセスを使用して、セキュリティと保護のレイヤーをさらに追加できます。 条件付きアクセスをグローバル セキュア アクセスと共に使用する組織は、多層防御を提供するために複数の条件を使用して、Microsoft アプリ、SaaS アプリ、プライベート基幹業務 (LoB) アプリへの悪意のあるアクセスを防ぐことができます。 これらの条件には、ユーザー ID やトークンの盗難を予防するために、デバイスのコンプライアンスや場所などが含まれる場合があります。

グローバル セキュア アクセスの条件付きアクセスには、いくつかの新しい種類のチェックが導入されています。

条件付きアクセスのチェック できること
対応ネットワーク チェック この準拠しているネットワークのチェックにより、ユーザーが特定のテナントの検証済みネットワーク接続モデルから接続していて、管理者によって適用されるセキュリティ ポリシーに準拠していることを確認できます。
プライベート アクセス アプリ Microsoft Entra Private Access アプリに条件付きアクセス ポリシーを適用することは、内部のプライベート リソースにセキュリティ ポリシーを適用する強力な方法です。
ソース IP の復元 ユーザーとユーザー用リソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra のお客様において元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です。

準拠ネットワーク チェックソース IP の復元機能を使用するには、条件付きアクセス用のグローバル セキュア アクセス シグナリングを有効にする必要があります。 この手順は、直接条件付きアクセス オプションに進む前に、1 回だけ実行する必要があります。 条件付きアクセスで次のいずれかの機能を使用する前に、この手順を実行します。

条件付きアクセスの Global Secure Access シグナリングを有効にする

準拠しているネットワークのチェックが行われるようにするために必要な設定を有効にするには、管理者は次の手順のようにする必要があります。

  1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
  2. [グローバル セキュリティで保護されたアクセス] > [セッション管理] > [アダプティブ アクセス > グローバル設定] を参照します。
  3. (すべてのクラウド アプリを対象とする) Microsoft Entra ID の CA シグナリングを有効にするには、トグルを選択します。 Office 365 (プレビュー) では、継続的アクセス評価 (CAE) シグナリングが自動的に有効になります。
  4. [保護] > [条件付きアクセス] > [名前付きの場所] に移動します。
    • 場所の種類が [ネットワーク アクセス] である [All Compliant Network locations] (準拠しているすべてのネットワークの場所) という場所があることを確認します。 組織は必要に応じて、この場所を信頼済みとしてマークできます。

準拠ネットワーク チェック

準拠ネットワークの適用は、認証プレーンとデータ プレーン (プレビュー) で行われます。 Microsoft Entra ID は、ユーザー認証時に認証プレーンの適用を行います。 データ プレーンの適用は、継続的アクセス評価 (CAE) をサポートするサービスで機能します。 現時点では、Exchange Online と SharePoint Online のみがこの機能をサポートしています。 CAE を使用すると、トークンの盗難やリプレイ攻撃に対する保護を使用して多層防御を適用できます。

このチェックを使用すると、Microsoft の Global Secure Access サービスを使用している他の組織はリソースにアクセスできません。 たとえば、Contoso は、Exchange Online や SharePoint Online などのサービスを準拠しているネットワークのチェックの背後で保護し、Contoso ユーザーのみがこれらのリソースにアクセスできるようにすることができます。 準拠しているネットワークのチェックを Fabrikam のような別の組織が使用していた場合、Contoso の準拠しているネットワークのチェックには合格しません。

準拠ネットワークの内部にあるリソースを保護する

準拠ネットワークの条件付きアクセス ポリシーは、Microsoft やその他のアプリケーションを保護するために使用できます。 一般的なポリシーでは、準拠ネットワークを除くすべてのネットワークの場所に対するアクセスが「ブロック」されます。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護] > [条件付きアクセス] に移動します。
  3. [新しいポリシーの作成] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、[ユーザーまたはワークロード ID] を選択します。
    • [Include](含める) で、 [すべてのユーザー] を選択します。
    • [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
  6. [ターゲット リソース] > [含める] で、[アプリの選択] を選択します。
    • Office 365 Exchange Online、Office 365 SharePoint Online、任意の SaaS アプリ、またはそのうちのいくつかを選択します。
    • アプリ ピッカーの特定の Office 365 クラウド アプリは現在サポートされていないため、このクラウド アプリを選択しないでください。
  7. [条件] > 場所。
    • [構成] を [はい] に設定します。
    • [Include](含める) で、 [すべての場所] を選択します。
    • [除外] で、[選択した場所] を選択します。
      • [すべての準拠ネットワークの場所] を選択します。
    • [選択] を選択します。
  8. [アクセス制御] で、次のようにします。
    • [許可] で、[アクセスのブロック] を選択し、[選択] を選択します。
  9. 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。
  10. [作成] ボタンを選択して、ポリシーを作成および有効化します。

プライベート アクセス アプリの条件付きアクセス

グローバル セキュア アクセスから、クイック アクセス アプリまたは Private Access アプリのための条件付きアクセス ポリシーを作成できます。 グローバル セキュア アクセスからプロセスを開始すると、選択したアプリがポリシーのターゲット リソースとして自動的に追加されます。 行う必要があるのは、ポリシー設定を構成することだけです。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

  2. グローバルセキュアアクセス] > [アプリケーション] > [エンタープライズ アプリケーション] に移動します。

  3. 一覧からアプリケーションを選択します。

  4. サイド メニューから [条件付きアクセス] を選びます。 既存の条件付きアクセス ポリシーが一覧に表示されます。

  5. [新しいポリシーの作成] を選択します。 選択したアプリが [ターゲット リソース] の詳細に表示されます。

  6. 条件とアクセス制御を構成し、必要に応じてユーザーとグループを割り当てます。

    グローバル セキュア アクセスに合わせてポリシーが設定されていることを示す、[条件付きアクセス] ダイアログの一部のスクリーンショット。

グローバル セキュア アクセスからクイック アクセスとプライベート アクセス セレクターが追加されました。

ソース IP 復元

グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra のお客様において元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です。 管理者には、以下のことが可能になるメリットがあります。

  • 条件付きアクセスと継続的アクセス評価の両方に、ソース IP ベースの場所ポリシーを引き続き適用する。
  • Identity Protection のリスク検出で、元のユーザー ソース IP アドレスに基づき、一貫した形でさまざまなリスク スコア評価を行えます。
  • また、Microsoft Entra サインイン ログにも元のユーザーソース IP が記録されます。

既知の制限事項

  • ソース IP 復元が有効になっている場合、お客様から見えるのはソース IP のみです。 Global Secure Access サービスの IP アドレスは見えません。
  • 現在、ソース IP の復元は、Microsoft トラフィック (SharePoint Online、Exchange Online、Teams、Microsoft Graph など) でのみサポートされています。
  • CAE の厳密な場所の適用により、ユーザーは信頼できる IP 範囲にいてもブロックされます。

有効化

グローバル セキュア アクセス シグナリングをオンにすると、ソース IP 復元は有効になります。 追加の構成と変更は必要ありません。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。

  • テナント全体のアカウント ロックアウトを防ぐための緊急アクセス用アカウントまたは非常用アカウント
  • サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。