条件付きアクセスをグローバル セキュリティで保護されたアクセスと共に使用する組織は、複数の条件を使用して、Microsoft アプリ、サード パーティの SaaS アプリ、プライベート基幹業務 (LoB) アプリへの悪意のあるアクセスを防ぎ、多層防御を提供できます。 これらの条件には、強力な要素認証、デバイスのコンプライアンス、場所などが含まれる場合があります。 これらの条件を有効にすると、ユーザー ID の侵害やトークンの盗難から組織が保護されます。 グローバル セキュア アクセスには、Microsoft Entra ID 条件付きアクセス内で対応ネットワークの概念が導入されています。 この準拠ネットワーク チェックにより、ユーザーは特定のテナントのグローバル セキュリティ で保護されたアクセス サービス経由で接続し、管理者によって適用されるセキュリティ ポリシーに準拠していることを確認します。
構成されたリモート ネットワークの内側にあるデバイスやユーザーにインストールされた グローバル セキュア アクセス クライアントを使用すると、管理者は高度な条件付きアクセス制御を使用して、準拠ネットワークの背後にあるリソースをセキュリティで保護できます。 この準拠ネットワーク機能により、管理者はエグレス IP アドレスの一覧を維持することなくアクセス ポリシーを管理しやすくなります。また、ソース IP アンカーを維持し、IP ベースの条件付きアクセス ポリシーを適用するために、組織の VPN 経由でトラフィックをヘアピンする必要がなくなります。 条件付きアクセスの詳細については、「条件付きアクセスとは」を参照してください。
コンプライアンスネットワークチェックの実施
準拠しているネットワークの強制により、トークンの盗難または再生攻撃のリスクが軽減されます。 認証プレーンの適用は、ユーザー認証時に Microsoft Entra ID によって実行されます。 敵対者がセッション トークンを盗み、組織の対応ネットワークに接続されていないデバイスから再生しようとした場合 (たとえば、盗まれた更新トークンを使用してアクセス トークンを要求する場合)、Entra ID はすぐに要求を拒否し、それ以上のアクセスはブロックされます。 データ プレーンの適用は、グローバル セキュア アクセスと統合され、継続的アクセス評価 (CAE) をサポートするサービス (現在は Microsoft Graph) と連携します。 CAE をサポートするアプリでは、テナントの対応ネットワークの外部で再生される盗まれたアクセス トークンは、ほぼリアルタイムでアプリケーションによって拒否されます。 CAE がない場合、盗まれたアクセス トークンは完全な有効期間まで続きます (既定値は 60 ~ 90 分です)。
この準拠ネットワーク チェックは、構成されているテナントに固有です。 たとえば、contoso.com で準拠ネットワークを必要とする条件付きアクセス ポリシーを定義した場合、このコントロールを渡すことができるのは、グローバル セキュリティで保護されたアクセスまたはリモート ネットワーク構成を持つユーザーだけです。 fabrikam.com のユーザーは、contoso.com のネットワーク ポリシーに準拠することができません。
準拠しているネットワークは、Microsoft Entra で構成できる IPv4、IPv6、または地理的な場所とは異なります。 管理者は、準拠しているネットワーク IP アドレス/範囲を確認して維持し、セキュリティ体制を強化し、管理オーバーヘッドを最小限に抑える必要はありません。
前提条件
-
グローバル セキュア アクセス機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
- グローバル セキュア アクセス機能を管理するためのグローバル セキュア アクセス管理者ロールのロール。
- 条件付きアクセス管理者。条件付きアクセス のグローバル セキュリティで保護されたアクセス通知を有効にし、条件付きアクセス ポリシーと名前付き場所を作成して操作できます。
- この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。
条件付きアクセスの Global Secure Access シグナリングを有効にする
準拠しているネットワークのチェックが行われるようにするために必要な設定を有効にするには、管理者は次の手順のようにする必要があります。
- グローバル セキュリティで保護されたアクセス管理者ロールと条件付きアクセス管理者ロールがアクティブになっているアカウントを使用して、Microsoft Entra 管理センターにサインインします。
- [Global Secure Access]>設定>セッション管理>適応型アクセス を順に参照します。
- トグルを選択して、(すべてのクラウド アプリを対象とする) Entra ID の CA シグナリングを有効にします。
-
[保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。
- ある場所が [All Compliant Network locations] (準拠しているすべてのネットワークの場所) という名で、場所の種類が [ネットワーク アクセス] であることを確認します。 組織は必要に応じて、この場所を信頼済みとしてマークできます。
注意事項
準拠しているネットワーク チェックに基づくアクティブな条件付きアクセス ポリシーが組織にある場合、後で条件付きアクセスでグローバル セキュリティで保護されたアクセス通知を無効にすると、対象のエンド ユーザーがリソースにアクセスできなくなる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。
準拠ネットワークの内部にあるリソースを保護する
準拠しているネットワーク条件付きアクセス ポリシーを使用して、Entra ID シングル サインオンと統合された Microsoft およびサード パーティのアプリケーションを保護できます。 一般的なポリシーでは、対応ネットワークを除くすべてのネットワークの場所に対する "ブロック" 許可が与えられます。 次の例で、この種類のポリシーを構成する手順を示します。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- Entra ID>Conditional Access に移動します。
- [新しいポリシーの作成] を選択します。
- ポリシーの名前を設定してください。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
-
[割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
-
[ターゲット リソース]>[組み込み] で、[すべてのリソース] (以前の [すべてのクラウド アプリ]) を選択します。
- 組織が Microsoft Intune にデバイスを登録している場合は、循環依存の関係を回避するために、条件付きアクセス ポリシーからアプリケーション Microsoft Intune 登録と Microsoft Intune を除外することをお勧めします。
-
ネットワークの下にある。
- [構成] を [はい] に設定します。
- 含めるで、任意の場所を選択します。
- [除外] で、[準拠しているすべてのネットワークの場所] という場所を選択します。
-
[アクセス制御] で、次のようにします。
- [許可] を選択し、[アクセスのブロック] を選択して、さらに [選択] を選択します。
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。
- [作成] ボタンを選択して、ポリシーを作成および有効化します。
注記
グローバル セキュア アクセスと、"すべてのリソース" のために準拠したネットワークを必要とする条件付きアクセス ポリシーを使用します。
グローバル セキュア アクセス リソースは、ポリシーで "準拠しているネットワーク" が有効になっている場合、条件付きアクセス ポリシーから自動的に除外されます。 明示的にリソースを除外する必要ありません。 これらの自動的な除外は、グローバル セキュア アクセス クライアントが必要なリソースへのアクセスをブロックされないようにするために必要です。 グローバル セキュア アクセスに必要なリソースは次のとおりです。
- グローバル セキュア アクセス トラフィック プロファイル
- グローバル セキュア アクセス ポリシー サービス (内部サービス)
除外されたグローバル セキュア アクセス リソースの認証のためのサインイン イベントは、Microsoft Entra ID サインイン ログに次のように表示されます。
- グローバル セキュア アクセスを使用するインターネット リソース
- グローバル セキュア アクセスを使用する Microsoft アプリ
- グローバル セキュア アクセスを使用するすべてのプライベート リソース
- ZTNA ポリシー サービス
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
-
サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーに対して適用される条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。
準拠しているネットワークのポリシーを試す
- グローバル セキュア アクセス クライアントがインストールされ、実行されているエンド ユーザー デバイスで、テナントで Entra ID シングル サインオンを使用するhttps://myapps.microsoft.comまたはその他のアプリケーションを参照します。
- Windows トレイでアプリケーションを右クリックし、[ 無効] を選択して、グローバル セキュリティで保護されたアクセス クライアントを一時停止します。
- グローバル セキュア アクセス クライアントを無効にした後、Entra ID シングル サインオンと統合された別のアプリケーションにアクセスします。 たとえば、Azure portal へのサインインを試すことができます。 Entra ID 条件付きアクセスによって、アクセスがブロックされる必要があります。
注記
アプリケーションに既にサインインしている場合、アクセスは中断されません。 準拠しているネットワーク条件は Entra ID によって評価され、既にサインインしている場合は、アプリケーションとの既存のセッションがある可能性があります。 このシナリオでは、アプリケーション セッションの有効期限が切れたときに、次回 Entra ID サインインが必要になったときに、準拠ネットワーク チェックが再評価されます。
![ブラウザー ウィンドウのエラー メッセージ [現時点ではこれにはアクセスできません] を示すスクリーンショット。](media/how-to-compliant-network/you-cannot-access-this-right-now-error.png)