次の方法で共有

条件付きアクセス ポリシーの影響の分析

条件付きアクセスは、適切な状況で適切なセキュリティ アクセス制御を適用することで、組織のセキュリティを維持するのに役立ちます。 特に新しいポリシーをデプロイする場合、これらのポリシーの影響を理解することは困難な場合があります。 この記事では、レポート専用モードやその他のツールを使用して条件付きアクセス ポリシーの影響を分析する方法について説明します。

レポート専用モードに基づいて、管理者が使用できるオプションがいくつかあります。 レポート専用モードは、管理者がほとんどの条件付きアクセス ポリシーを有効にする前にテストできるようにするポリシー状態です。

  • 条件付きアクセス ポリシーは、"ユーザー 操作" スコープに含まれるアイテムを除き、レポート専用モードで評価できます。
  • サインイン中に、レポート専用モードになっているポリシーが評価されますが、強制はされません。
  • 結果は、サインイン ログの詳細の [条件付きアクセス ] タブと [ レポート専用 ] タブに記録されます。
  • Azure Monitor サブスクリプションをお持ちのお客様は、条件付きアクセスに関する分析情報のブックを使用して、条件付きアクセス ポリシーの影響を監視できます。

Warnung

準拠デバイスを必要とするレポート専用モードのポリシーでは、デバイスコンプライアンスが適用されていない場合でも、ポリシーの評価中に macOS、iOS、Android デバイスのユーザーにデバイス証明書の選択を求める場合があります。 これらのプロンプトは、デバイスが準拠するまで繰り返される場合があります。 エンド ユーザーがサインイン中にプロンプトを受信できないようにするには、デバイス コンプライアンス チェックを実行するレポート専用ポリシーからデバイス プラットフォーム Mac、iOS、Android を除外します。

ポリシーの評価結果

特定のサインインに対してポリシーが評価されると、いくつかの結果が考えられます。

結果 説明
レポートのみ: 成功 構成されたすべてのポリシー条件、必要な非対話型の許可コントロール、およびセッション制御が満たされました。 たとえば、トークンに既に存在する MFA 要求によって多要素認証の要件が満たされている場合や、準拠しているデバイスでデバイス チェックを実行することで準拠しているデバイス ポリシーが満たされている場合などです。
レポートのみ: 失敗 構成されたすべてのポリシー条件が満たされましたが、必要なすべての非対話型許可コントロールまたはセッション制御が満たされたわけではありません。 たとえば、ブロック コントロールが構成されているユーザーにポリシーが適用される場合や、デバイスがデバイスポリシーの準拠要件を満たさない場合があります。
レポートのみ: ユーザー アクションが必要 構成されたすべてのポリシー条件が満たされましたが、必要な許可コントロールまたはセッション制御を満たすためにユーザーアクションが必要になります。 レポート専用モードでは、ユーザーは必要なコントロールを満たすように求められません。 たとえば、ユーザーは多要素認証のチャレンジや使用条件を求められません。
レポートのみ: 未適用 構成されたすべてのポリシー条件が満たされたわけではありません。 たとえば、ユーザーがポリシーから除外されるか、ポリシーが特定の信頼された名前付き場所にのみ適用されます。
成功 ポリシーが適用され、要件が満たされ、ポリシーによってサインインの続行が許可されるサインイン イベント。 サインインは、引き続き別のポリシーによってブロックされる可能性があります。
失敗 ポリシーが適用され、要件が満たされておらず、ポリシーによってサインインがブロックされるサインイン イベント。 これは、特定の場所からのサインインがブロックされている場合や、ポリシーが正しく構成されていない場合など、仕様によって異なります。
未適用 ポリシーが適用されなかったサインイン イベント (ユーザーが除外されたなど)。

結果の確認

管理者は、いくつかのオプションを使用して、環境内のポリシーの潜在的な結果を確認できます。

  • ブック
  • サインイン ログ
  • ポリシーへの影響 (プレビュー)

ポリシーへの影響

条件付きアクセスのポリシー影響ビューを使用すると、少なくともセキュリティ閲覧者ロールを持つ管理者は、組織内の対話型サインインに対するポリシーの潜在的または既存の影響に関する情報のスナップショットを表示できます。 この機能を使用すると、過去 24 時間、7 日間、または 1 か月間の影響を調べることができます。 さらに、サインインイベントのサンプリングを確認し、リンク先でより詳しく確認することができます。

条件付きアクセス ポリシーへの影響の例のスクリーンショット。

ブック

管理者はレポート専用モードで複数のポリシーを作成できるため、各ポリシーの個々の影響と、一緒に評価される複数のポリシーの組み合わせの影響の両方を理解する必要があります。 条件付きアクセスの分析情報とレポート ブックを使用すると、管理者は条件付きアクセス ポリシーを視覚化し、特定の時間範囲、一連のアプリケーション、およびユーザーに対するポリシーの影響をクエリおよび監視できます。 管理者は、特定のニーズに合わせてワークブックをカスタマイズできます。

サインイン ログ

条件付きアクセス ポリシーとそのアプリケーションを特定のサインインで詳細に評価するために、管理者は個々のサインイン イベントを調査する場合があります。 これらの各イベントには、条件付きアクセス ポリシーが有効であったか、レポート専用モードであったか、適用されなかったかの詳細が含まれます。

サインイン ログのレポート専用タブを示すスクリーンショット。

これらのオプションの使用

管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

関連コンテンツ