Active Directory フェデレーション サービスを使用した組織データへのアクセスの制御

このドキュメントでは、オンプレミス、ハイブリッド、クラウドの各シナリオで AD FS を使用したアクセス制御の概要を説明しています。

AD FS およびオンプレミス リソースへの条件付きアクセス

Active Directory フェデレーション サービス (AD FS) の導入以降、承認ポリシーを使用して、要求とリソースの属性に基づいてユーザーに対してリソースへのアクセスを制限または許可できます。 AD FS のバージョンの移行に応じて、これらのポリシーの実装方法も変更されてきました。 バージョン別のアクセス制御機能の詳細については、以下を参照してください。

• Windows Server 2016 の AD FS のアクセス制御ポリシー
• Windows Server 2012 R2 の AD FS のアクセス制御

AD FS およびハイブリッド組織での条件付きアクセス

AD FS では、ハイブリッド シナリオで条件付きアクセス ポリシーにオンプレミス コンポーネントを提供します。 AD FS ベースの認可規則は、AD FS に直接フェデレーションされたオンプレミス アプリケーションなどの、Microsoft Entra 以外のリソースに使用する必要があります。 クラウド コンポーネントは、Microsoft Entra 条件付きアクセスによって提供されます。 Microsoft Entra Connect は、これら 2 つを接続するコントロール プレーンを提供します。

たとえば、クラウド リソースへの条件付きアクセスの Microsoft Entra ID でデバイスを登録するときに、Microsoft Entra Connect のデバイス書き戻し機能により、実行する AD FS ポリシーがオンプレミスでデバイスの登録情報を使用できるようになります。 これにより、内部設置型の両方のアクセス制御ポリシーと、クラウド リソースを一貫した方法があります。

Office 365 のクライアント アクセス ポリシーの進化

多くのユーザーは、AD FS でクライアント アクセス ポリシーを使用して、クライアントの場所や使用されているクライアント アプリケーションの種類などの要因に基づいて、Office 365 や他の Microsoft Online Services へのアクセスを制限しています。

• Windows Server 2012 R2 AD FS のクライアント アクセス ポリシー
• AD FS 2.0 のクライアント アクセス ポリシー

これらのポリシーの例を次に示します。

• Office 365 へのすべてのエクストラネット クライアント アクセスをブロックします
• Exchange Active Sync の Exchange Online にアクセスするデバイスを除き、Office 365 へのすべてのエクストラネット クライアント アクセスをブロックします

多くの場合、これらのポリシーの背後にある基本となるニーズは、承認されたクライアント、データをキャッシュしないアプリケーション、またはリモートで無効にできるデバイスのみがリソースにアクセスできるようにして、データ漏えいのリスクを軽減するということです。

上記で説明した AD FS のポリシーは、説明の中の特定のシナリオで機能しますが、必ずしも一貫して使用できるわけではないクライアント データに依存しているため、制限があります。 たとえば、クライアント アプリケーションの ID は Exchange Online ベースのサービスでのみ使用でき、SharePoint Online などのリソースでは使用できません。それらでは同じデータには、ブラウザーや、Word や Excel などの "シック クライアント" を介してアクセスできます。 また、AD FS は、SharePoint Online や Exchange Online など、アクセスされる Office 365 内のリソースを認識しません。

これらの制限に対処し、ポリシーを使用して Office 365 または他の Microsoft Entra ID ベースのリソースのビジネス データへのアクセスを管理するためのより堅牢な方法を提供するために、マイクロソフトは Microsoft Entra 条件付きアクセスを導入しました。 Microsoft Entra 条件付きアクセス ポリシーは、特定のリソース、Office 365、SaaS、または Microsoft Entra ID のカスタム アプリケーション内の一部またはすべてのリソースに対して構成できます。 これらのポリシーは、デバイスの信頼度、位置情報、その他の要素を軸にしています。

Microsoft Entra の条件付きアクセスの詳細については、「Microsoft Entra ID の条件付きアクセス」を参照してください。

これらのシナリオを可能にする重要な変更は、先進認証です。これは、Office クライアント、Skype、Outlook、ブラウザーのいずれでも同じように動作する、ユーザーとデバイスを認証する新しい方法です。

次の手順

クラウドとオンプレミスでのアクセス制御の詳細については、以下を参照してください。

• Microsoft Entra ID の条件付きアクセス
• AD FS 2016 のアクセス制御ポリシー