条件付きアクセス ポリシーでは、Web サイトとサービスを使用するための要件を指定します。 たとえば、要件には、多要素認証 (MFA) または マネージド デバイスの要求が含まれる場合があります。
サイトまたはサービスを直接使用すると、通常、関連するポリシーがユーザーに与える影響を簡単に確認できます。 たとえば、SharePoint Online の多要素認証 (MFA) を必要とするポリシーを設定した場合、SharePoint Web ポータルへのサインインごとに MFA が必要になります。 ただし、一部のクラウド アプリは他のクラウド アプリに依存しているため、ポリシーの影響を把握するのが難しい場合があります。 たとえば、Microsoft Teamsでは SharePoint Online のリソースを使用できます。 そのため、このシナリオでMicrosoft Teamsを使用すると、SharePoint MFA ポリシーも適用されます。
ヒント
Office 365 アプリを使用して、すべての Office アプリを対象とし、Office スタック内のサービスの依存関係に関する問題を回避します。
ポリシーの適用
サービス依存関係を構成している場合は、事前バインディングまたは遅延バインディングを使用してポリシーを適用できます。
- 早期バインド ポリシーの適用 とは、呼び出し元アプリを使用する前に、ユーザーが依存サービス ポリシーを満たす必要があるということです。 たとえば、ユーザーは、Microsoft Teamsにサインインする前に SharePoint ポリシーを満たす必要があります。
- 遅延バインディング ポリシー適用 は、ユーザーが呼び出し元アプリにサインインした後に行われます。 呼び出し元アプリがダウンストリーム サービスのトークンを要求するまで、適用は延期されます。 たとえば、Microsoft Teams は Planner にアクセスし、Office.com は SharePoint にアクセスします。
次の図は、Microsoft Teamsサービスの依存関係を示しています。 実線矢印は事前バインディング適用を示し、Planner を指す破線矢印は遅延バインディング適用を示します。
可能な限り、関連するアプリとサービス間で一般的なポリシーを設定します。 一貫したセキュリティ体制により、最適なユーザー エクスペリエンスが得られます。 たとえば、Exchange Online、SharePoint Online、Microsoft Teams全体で共通のポリシーを設定すると、ダウンストリーム サービスに適用されるさまざまなポリシーから得られるプロンプトが減ります。
Microsoft 365 アプリの共通ポリシーを設定するには、個々のアプリケーションを対象とするのではなく 、Office 365 アプリ を使用します。
次の表に、クライアント アプリが満たす必要があるその他のサービスの依存関係を示します。 この一覧はすべてを網羅したものではありません。
| クライアント アプリ | ダウン ストリーム サービス | 適用 |
|---|---|---|
| Azure Data Lake | Windows Azure Service Management API (ポータルと API) | 事前バインディング |
| Microsoft Classroom | Exchange | 事前バインディング |
| SharePoint | 事前バインディング | |
| Microsoft Teams | Exchange | 事前バインディング |
| MS プランナー | 遅延バインディング | |
| Microsoft Stream | 遅延バインディング | |
| SharePoint | 事前バインディング | |
| Skype for Business Online | 事前バインディング | |
| Microsoft Whiteboard | 遅延バインディング | |
| Office ポータル | Exchange | 遅延バインディング |
| SharePoint | 遅延バインディング | |
| Outlook Groups | Exchange | 事前バインディング |
| SharePoint | 事前バインディング | |
| Power Apps(パワーアプリ) | Windows Azure Service Management API (ポータルと API) | 事前バインディング |
| Windows Azure Active Directory | 事前バインディング | |
| SharePoint | 事前バインディング | |
| Exchange | 事前バインディング | |
| パワーオートメート | Power Apps(パワーアプリ) | 事前バインディング |
| プロジェクト | Dynamics CRM | 事前バインディング |
| Skype for Business | Exchange | 事前バインディング |
| Visual Studio | Windows Azure Service Management API (ポータルと API) | 事前バインディング |
| Microsoft Forms | Exchange | 事前バインディング |
| SharePoint | 事前バインディング | |
| Microsoft To Do | Exchange | 事前バインディング |
| SharePoint | SharePoint Online Web クライアントの拡張機能 | 事前バインディング |
| 分離された SharePoint Online Web クライアントの拡張機能 | 事前バインディング | |
| SharePoint クライアント拡張機能 Web アプリケーション プリンシパル (存在する場合) | 事前バインディング |
サービスの依存関係のトラブルシューティング
Microsoft Entra サインイン ログは、環境内で条件付きアクセス ポリシーが適用される理由と方法をトラブルシューティングするときに役立つ情報ソースです。 サインイン ログには、アプリケーション、リソース、対象ユーザーなどの役に立つ情報が含まれます。 条件付きアクセスに関連する予期しないサインイン結果のトラブルシューティングの詳細については、「条件付きアクセスでのサインインに関する問題のトラブルシューティング」の記事を参照してください。
次のステップ
環境に条件付きアクセスを実装する方法については、「 Microsoft Entra ID で条件付きアクセスの展開を計画する」を参照してください。