条件付きアクセス ポリシーをグローバル セキュリティで保護されたアクセス トラフィックに適用する

条件付きアクセス ポリシーは、グローバル セキュリティで保護されたアクセス トラフィックに適用します。 条件付きアクセスを使用すると、Microsoft リソースにアクセスするために多要素認証とデバイス コンプライアンスを要求できます。

この記事では、条件付きアクセス ポリシーをグローバル セキュア アクセスインターネット トラフィックに適用する方法について説明します。

前提条件

• グローバル セキュリティで保護されたアクセス機能を操作する管理者は、実行しているタスクに応じて、次のロールの割り当てを 1 つ以上持っている必要があります。
  • グローバルセキュアアクセス管理者ロールは、グローバルセキュアアクセス機能を管理する役割です。
  • 条件付きアクセス ポリシーを作成して操作するための条件付きアクセス管理者ロール。
• この製品にはライセンスが必要です。 詳細については、「 グローバルセキュリティで保護されたアクセスとは」のライセンスセクションを参照してください。 必要に応じて、 ライセンスを購入するか、試用版ライセンスを取得できます。

グローバル セキュリティで保護されたアクセスインターネット トラフィックを対象とする条件付きアクセス ポリシーを作成する

次の例のポリシーは、緊急アクセス用アカウントとゲスト/外部ユーザーを除くすべてのユーザーを対象として、グローバルセキュアアクセスのインターネットトラフィックに対し、多要素認証、デバイスコンプライアンス、またはMicrosoft Entraハイブリッド参加済みデバイスを要求します。

1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。

2. Entra ID>Conditional Access に移動します。

3. [ 新しいポリシーの作成] を選択します。

4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。

5. [ 割り当て] で、[ ユーザーとグループ ] リンクを選択します。

   1. [ 含める] で、[ すべてのユーザー] を選択します。
   2. 除外の下で:
      1. [ユーザーとグループ] を選択し、組織の緊急アクセスまたはブレークグラスアカウントを選択します。
      2. [ ゲストまたは外部ユーザー ] を選択し、すべてのチェック ボックスをオンにします。

6. [ターゲット リソース]>リソース (以前のクラウド アプリ)。

   1. グローバルセキュリティで保護されたアクセス権を持つすべてのインターネット リソースを選択します。

   

   注

   Microsoftトラフィック転送プロファイルではなく、インターネット アクセス トラフィック転送プロファイルのみを適用するには、[リソースの選択] を選択し、アプリ ピッカーから [インターネット リソース] を選択し、セキュリティ プロファイルを構成します。

7. アクセス制御>許可。

   1. [多要素認証を要求する]、[デバイスを準拠としてマークする必要]、[Microsoft Entra ハイブリッド参加済みデバイスを必須にする] の順に選択します
   2. 複数のコントロールの場合は 、[ 選択したコントロールの 1 つを必須にする] を選択します。
   3. [選択] を選択します。

管理者が レポート専用モードを使用してポリシー設定を確認した後、管理者は [ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

• ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたは非常時アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
  • 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
• サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーに設定された条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
  • これらのアカウントがスクリプトまたはコードで使用されている場合は、 マネージド ID に置き換えることを検討してください。

次のステップ

Microsoft Entra Internet Access の使用を開始する次の手順は、 グローバル セキュリティで保護されたアクセス ログを確認することです。

トラフィック転送の詳細については、次の記事を参照してください。

• トラフィック転送プロファイルについて説明します
• Microsoft トラフィック プロファイルを管理する