Active Directory フェデレーション サービスを使用した組織データへのアクセスの制御

このドキュメントでは、オンプレミス、ハイブリッド、クラウドの各シナリオにおける AD FS によるアクセス制御の概要について説明します。

AD FS とオンプレミス リソースへの条件付きアクセス

Active Directory フェデレーション サービスの導入以降、承認ポリシーを使用して、要求とリソースの属性に基づいてユーザーがリソースにアクセスすることを制限または許可してきました。 AD FS がバージョンからバージョンに移行すると、これらのポリシーの実装方法が変更されました。 バージョン別のアクセス制御機能の詳細については、以下を参照してください。

• Windows Server 2016 の AD FS のアクセス制御ポリシー
• Windows Server 2012 R2 の AD FS でのアクセス制御

ハイブリッド組織での AD FS と条件付きアクセス

AD FS は、ハイブリッド シナリオで条件付きアクセス ポリシーのオンプレミス コンポーネントを提供します。 AD FS に直接フェデレーションされたオンプレミス アプリケーションなど、Microsoft Entra 以外のリソースには、AD FS ベースの承認規則を使用する必要があります。 クラウド コンポーネントは、 Microsoft Entra 条件付きアクセスによって提供されます。 Microsoft Entra Connect は、2 つを接続するコントロール プレーンを提供します。

たとえば、クラウド リソースへの条件付きアクセス用に Microsoft Entra ID でデバイスを登録すると、Microsoft Entra Connect デバイスの書き戻し機能により、AD FS ポリシーが使用および適用するためにデバイス登録情報をオンプレミスで使用できるようになります。 これにより、オンプレミスリソースとクラウドリソースの両方のアクセス制御ポリシーに対する一貫したアプローチが得られます。

Office 365 のクライアント アクセス ポリシーの進化

多くのユーザーは、AD FS でクライアント アクセス ポリシーを使用して、クライアントの場所や使用されているクライアント アプリケーションの種類などの要因に基づいて、Office 365 やその他の Microsoft Online サービスへのアクセスを制限しています。

• Windows Server 2012 R2 AD FS のクライアント アクセス ポリシー
• AD FS 2.0 のクライアント アクセス ポリシー

これらのポリシーの例を次に示します。

• Office 365 へのすべてのエクストラネット クライアント アクセスをブロックする
• Exchange Online for Exchange Active Sync にアクセスするデバイスを除き、Office 365 へのすべてのエクストラネット クライアント アクセスをブロックする

多くの場合、これらのポリシーの背後にある根本的なニーズは、承認されたクライアント、データをキャッシュしないアプリケーション、またはリモートで無効にできるデバイスのみがリソースにアクセスできるようにすることで、データ漏洩のリスクを軽減することです。

上記の AD FS のポリシーは、ドキュメントに記載されている特定のシナリオで機能しますが、一貫して使用できないクライアント データに依存するため、制限があります。 たとえば、クライアント アプリケーションの ID は Exchange Online ベースのサービスでのみ使用でき、SharePoint Online などのリソースでは使用できません。この場合、ブラウザーまたは Word や Excel などの "シック クライアント" を介して同じデータにアクセスできます。 また、AD FS では、SharePoint Online や Exchange Online など、Office 365 内のリソースがアクセスされていることも認識されません。

これらの制限に対処し、ポリシーを使用して Office 365 またはその他の Microsoft Entra ID ベースのリソースのビジネス データへのアクセスを管理するためのより堅牢な方法を提供するために、Microsoft は Microsoft Entra 条件付きアクセスを導入しました。 Microsoft Entra 条件付きアクセス ポリシーは、特定のリソース、または Office 365 内の任意またはすべてのリソース、SaaS、または Microsoft Entra ID のカスタム アプリケーションに対して構成できます。 これらのポリシーは、デバイスの信頼、場所、およびその他の要因に基づきます。

Microsoft Entra 条件付きアクセスの詳細については、「Microsoft Entra ID での条件付きアクセス」を参照してください。

これらのシナリオを可能にする重要な変更は、 先進認証であり、Office クライアント、Skype、Outlook、ブラウザー間で同じように動作するユーザーとデバイスを認証する新しい方法です。

次のステップ

クラウドとオンプレミスのアクセスの制御の詳細については、次を参照してください。

• Microsoft Entra ID での条件付きアクセス
• AD FS 2016 のアクセス制御ポリシー