現在のセキュリティ境界は組織のネットワークの外にまで広がり、ユーザーとデバイスの ID が含まれるようになっています。 組織は、アクセス制御に関する決定を行う過程で、これらの ID ドリブン シグナルを使用できるようになっています。 Microsoft Entra 条件付きアクセスは、決定のためにシグナルをまとめ、組織のポリシーを適用します。 条件付きアクセスは、ポリシーの決定を実施する際に、さまざまなソースからのシグナルを考慮に入れた Microsoft の ゼロ トラスト ポリシー エンジン です。
最も単純な条件付きアクセス ポリシーは if-then ステートメントです。ユーザーがリソースにアクセスする場合は、アクションを完了する必要があります。 たとえば、ユーザーが Microsoft 365 などのアプリケーションまたはサービスにアクセスする場合、アクセスを取得するために多要素認証を実行する必要があります。
管理者が直面している 2 つの主な目標は次のとおりです。
- 場所や時間を問わず、ユーザーの生産性を向上させること
- 組織の資産を保護すること
条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持します。
重要
条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。
一般的なシグナル
条件付きアクセスでは、アクセスに関する決定時にさまざまなソースからのシグナルが考慮されます。
これらのシグナルには、次のものが含まれます。
- ユーザーまたはグループ メンバーシップ
- 特定のユーザーとグループをポリシーの対象にすることができるため、管理者はアクセスをきめ細かく制御できます。
- IP の場所に関する情報
- 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。
- 管理者は、トラフィックをブロックまたは許可する国またはリージョン全体の IP 範囲を指定できます。
- デバイス
- 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。
- デバイスのフィルターを使用して、特権アクセス ワークステーションなどの特定のデバイスを対象にポリシーを設定します。
- アプリケーション
- 特定のアプリケーションにアクセスしようとしているユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。
- リアルタイムでの計算されたリスクの検出
- Microsoft Entra ID Protection との統合を通知することで、条件付きアクセス ポリシーでは、危険なユーザーとサインイン動作を特定して修復できます。
-
Microsoft Defender for Cloud Apps
- ユーザー アプリケーションのアクセスとセッションをリアルタイムで監視および制御できます。 この統合により、クラウド環境へのアクセスと、クラウド環境で実行されるアクティビティの可視性を高めて制御を強化できます。
一般的な決定
- アクセスのブロック
- 最も制限の厳しい決定
- アクセス権を付与する
- 次のオプションの 1 つ以上を必要とする可能性がある制限が比較的緩やかな判断:
- 多要素認証を要求する
- 認証強度が必要
- デバイスは準拠としてマーク済みである必要がある
- Microsoft Entra ハイブリッド参加済みデバイスが必要
- 承認済みクライアント アプリを必須にする
- アプリの保護ポリシーを必須にする
- パスワードの変更を必須とする
- 利用規約が必須
一般的に適用されるポリシー
多くの組織には、 次のような条件付きアクセス ポリシーが役立つ一般的なアクセスの懸念があります。
- 管理者の役割を持つユーザーに多要素認証を要求する
- Azure 管理タスクに多要素認証を要求する
- レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする
- セキュリティ情報の登録に信頼できる場所を要求する
- 特定の場所からのアクセスをブロックまたは許可する
- リスクの高いサインイン動作をブロックする
- 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする
管理者は、ポータルまたは Microsoft Graph API を使用して、最初からポリシーを作成したり、テンプレート ポリシーから開始したりできます。
管理者のエクスペリエンス
条件付きアクセス管理者ロールを持つ管理者は、ポリシーを管理できます。
条件付きアクセスは、 Microsoft Entra 管理センター の Entra ID>Conditional Access にあります。
- [概要] ページには、ポリシーの状態、ユーザー、デバイス、アプリケーションの概要のほか、一般的なアラートとセキュリティアラートと推奨事項が表示されます。
- [対象範囲] ページには、過去 7 日間の条件付きアクセス ポリシーカバレッジの有無に関するアプリケーションの概要が表示されます。
- [ 監視] ページでは、管理者は、ポリシー カバレッジの潜在的なギャップを確認するためにフィルター処理できるサインインのグラフを表示できます。
[ ポリシー ] ページの条件付きアクセス ポリシーは、アクター、ターゲット リソース、条件、適用された制御、状態、日付などの項目に基づいて管理者によってフィルター処理できます。 このフィルター処理機能により、管理者は構成に基づいて特定のポリシーをすばやく見つけることができます。
条件付きアクセスの最適化エージェント
Microsoft Security Copilot を使用した 条件付きアクセス最適化エージェント (プレビュー) では、ゼロ トラストの原則と Microsoft のベスト プラクティスに基づいて、新しいポリシーと既存のポリシーの変更が推奨されます。 1 回のクリックで提案を適用して、条件付きアクセス ポリシーを自動的に更新または作成できます。 エージェントには、少なくとも Microsoft Entra ID P1 ライセンスと セキュリティ コンピューティング ユニット (SCU) が必要です。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
Microsoft 365 Business Premium ライセンスをお持ちのお客様は、条件付きアクセス機能にもアクセスできます。
リスクベースのポリシーでは、P2 ライセンスが必要な Microsoft Entra ID Protection にアクセスする必要があります。
条件付きアクセス ポリシーと対話するその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。
条件付きアクセスに必要なライセンスの有効期限が切れても、ポリシーが自動的に無効にされたり削除されたりすることはありません。 これにより、お客様は、セキュリティ体制を急激に変更することなく、条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新できなくなります。
セキュリティの既定値は 、ID 関連の攻撃から保護するのに役立ち、すべての顧客が利用できます。
ゼロ トラスト
この機能は、組織がゼロ トラスト アーキテクチャの 3 つの基本原則に ID を 合わせるのに役立ちます。
- 明示的に検証する
- 最小特権を使う
- 侵害を想定する
ゼロ トラストの詳細と、組織を基本原則に合わせるその他の方法については、 ゼロ トラスト ガイダンス センターを参照してください。