条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法を提供します。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせて、最大限の保護を提供するように設計されています。
テンプレートのカテゴリ
条件付きアクセス ポリシー テンプレートは、次のカテゴリに分類されます。
Microsoft では、すべての組織のベースとして、これらのポリシーを推奨しています。 これらのポリシーはグループとして展開することをお勧めします。
これらのテンプレートは、Microsoft Entra 管理センター>Entra ID>Conditional Access>テンプレートから新しいポリシーを作成で見つけることができます。 [ 詳細を表示 ] を選択すると、各カテゴリのすべてのポリシー テンプレートが表示されます。
重要
条件付きアクセス テンプレート ポリシーは、ポリシーを作成しているユーザーのみをテンプレートから除外します。 組織で 他のアカウントを除外する必要がある場合は、作成後にポリシーを変更できます。 これらのポリシーは 、Microsoft Entra 管理センター>Entra ID>Conditional Access>Policies で確認できます。 ポリシーを選択してエディターを開き、除外されるユーザーとグループを変更して、除外するアカウントを選択します。
既定では、各ポリシーは レポート専用モードで作成されます。各ポリシーを有効にする前に、意図した結果を確認するために、組織で使用状況をテストおよび監視することをお勧めします。
組織は、個々のポリシー テンプレートを選択できるほか、次のことが可能です。
- ポリシー設定の概要を表示する。
- 組織のニーズに基づいてカスタマイズするために編集する。
- プログラムのワークフローで使用するために JSON 定義をエクスポートする。
- これらの JSON 定義は、ポリシー ファイルのアップロード オプションを使用して、メインの条件付きアクセス ポリシー ページで編集およびインポートできます。
その他の一般的なポリシー
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスアカウントまたはブレークグラスアカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
-
サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 条件付きアクセス ポリシーがユーザーに適用されている場合でも、サービス プリンシパルによる呼び出しはブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- これらのアカウントがスクリプトまたはコードで使用されている場合は、 マネージド ID に置き換えることを検討してください。