条件付きアクセスポリシー

  • 更新

条件付きアクセスポリシーとは?
条件付きアクセスは、Azure Active Directoryがシグナルをまとめ、意思決定を行い、組織のポリシーを実施するために使用するツールです。
条件付きアクセスのポリシーにおいて最も簡単なものは、ユーザーがリソースにアクセスしたい場合、あるアクションを完了する必要があるというif-thenステートメントです。

条件付きアクセスポリシーを使用することで、必要に応じて適切なアクセス制御を適用して、組織の安全を確保することができます。

条件付きアクセスポリシーの構成要素を理解する

条件付きアクセスポリシーは if-then ステートメントです。割り当てが満たされていれば、これらのアクセス制御を適用します。条件付きアクセスポリシーを構成する場合、条件は割り当てと呼ばれます。条件付きアクセスポリシーを使用すると、特定の割り当てに基づいて組織のアプリに対するアクセス制御を適用できます。

割り当て:条件
条件付きアクセスポリシー内では、管理者はリスクとなる、デバイスプラットフォーム、または場所などの条件からのシグナルを利用して、ポリシーの決定を強化することができます。条件付きアクセスポリシー内では、管理者はアクセス制御を利用して、リソースへのアクセスを許可またはブロックすることができます。

mceclip3.png

 

アクセス制御:許可

条件付きアクセスポリシーの中で、管理者は、リスク、デバイスプラットフォーム、または場所などの条件からのシグナルを利用して、ポリシーの決定を強化することができます。

mceclip6.png

複数の条件を組み合わせて、詳細な条件付きアクセスポリシーを作成することができます。

アクセスのブロック:指定された割り当ての下でアクセスをブロックします。ブロック制御は強力なので、適切な知識の下にご使用ください。

アクセスを許可する:1つまたは複数のコントロールの実施をトリガーすることができます。

  • 多要素認証を要求する(Azure Multi-Factor Authentication)
  • デバイスに準拠しているとしてマーク済みである必要があります(Intune)
  • Hybrid Azure AD join を使用したデバイスが必要
  • 承認されたクライアントアプリが必要です
  • アプリの保護ポリシーが必要

複数のコントロールの場合オプションを選択します。複数選択した場合「選択したコントロールすべてが必要」が既定値です。

  • 選択したコントロールすべてが必要
  • 選択したコントロールのいずれかが必要

割り当て:ユーザーとグループ
条件付きアクセスポリシーには、決定プロセスのシグナルの1つとしてユーザーの割り当てが含まれていなければなりません。ユーザーは、条件付きアクセス ポリシーに含めることも、除外することもできます。

mceclip1.png

割り当て:クラウドアプリまたは操作

クラウド アプリまたは操作は、条件付きアクセス ポリシーのキーとなる シグナルです。管理者は特定のアプリケーションまたは操作に制御を割り当てることができます。

mceclip2.png

 

条件付きアクセスポリシーを作成する:

実際に、条件付きアクセスポリシーを作成し、テストグループのユーザーを割り当ててみます。

  1. グローバル管理者権限を持つアカウントを使用して、Azureポータルにサインインします。
  2. Azure Active Directoryを選択し、左側のメニューからセキュリティを選択します。
  3. 条件付きアクセスを選択し、「+新しいポリシー」を選択します。
  4. ポリシーの名前を入力します。
  5. [割り当て]で[ユーザーとグループ]を選択し、[ユーザーとグループの選択] ラジオボタンを選択します。
  6. [ユーザーとグループ]にチェックを入れ、選択可能なAzure ADのユーザーとグループを参照します。
  7. Azure AD のユーザーとグループを選んで、[選択]ボタンをクリックします。

    mceclip5.png

  8. グループに条件付きアクセスポリシーを適用するには、[作成] ボタンをクリックします。

多要素認証の条件を設定する:

条件付きアクセスポリシーを作成し、テストグループのユーザーを割り当てた後、ポリシーをトリガーとするクラウドアプリまたは操作を定義します。これらのクラウドアプリまたは操作は、MFAのプロンプトなど、追加の処理を必要とすると判断したシナリオです。

たとえば、財務アプリケーションへのアクセスや管理ツールの使用には、追加の検証プロンプトが必要であると判断することができます。
ユーザーがAzureポータルにサインインしたときにMFAを要求するように、条件付きアクセスポリシーを構成します。

  1. クラウド アプリまたはアクションを選択します。条件付きアクセス ポリシーをすべてのクラウド アプリに適用するか、特定のアプリを指定するかを選択できます。また、特定のアプリをポリシーから除外することもできます。この説明では、[対象]ページで、[アプリの選択]を行います。
  2. 選択欄にあるリンクをクリックして、表示されたリストを参照します。
    Microsoft Azure 管理を選択します。
  3. 選択したアプリを適用するには、[選択] を選択し、[作成] を選択します。

    mceclip2.png

アクセスコントロールを使用すると、承認済みのクライアントアプリが必要な場合や、Hybrid Azure AD に参加しているデバイスを使用している場合など、アクセスを許可するユーザーの要件を定義することができます。このチュートリアルでは、Azureポータルへのサインインイベント中にMFAを要求するようにアクセスコントロールを構成します。

  1. アクセス制御] で [アクセスの許可] を選択し、[アクセスの許可] ラジオ ボタンが選択されていることを確認します。
  2. 多要素認証を必要とする] のボックスにチェックを入れ、[選択] を選択します。

条件付きアクセスポリシーは、設定がユーザーにどのような影響を与えるかを確認したい場合はレポートのみに設定し、今すぐポリシーを使用したくない場合はオフに設定することができます。このチュートリアルでは、ユーザーのテストグループを対象としているので、ポリシーを有効にしてからAzure Multi-Factor Authenticationをテストしてみましょう。

  1. 有効化ポリシーのトグルをオンに設定します。
  2. 条件付きアクセス ポリシーを適用するには、[作成] を選択します。

Azureの多要素認証をテストする:

前段で作成した、条件付きアクセスポリシーとAzure多要素認証をテストします。まず、以下のようにMFAを必要としないリソースにサインインします。

  1. InPrivate またはシークレットモードで新しいブラウザウィンドウを開き、https://account.activedirectory.windowsazure.com を参照します。
  2. 管理者ではないテストユーザー(テストユーザーなど)でログインします。MFAを完了するためのプロンプトの表示はありません。
  3. ブラウザのウィンドウを閉じます。

次に、Azureポータルにサインインします。Azureポータルが条件付きアクセスポリシーで追加の検証を必要とするように設定されていたので、Azure Multi-Factor Authenticationのプロンプトが表示されます。

  1. InPrivate または incognito モードで新しいブラウザウィンドウを開き、https://portal.azure.com を参照します。
  2. 管理者ではないテストユーザーなどでサインインします。Azure 多要素認証を使用して登録してする必要があるためプロンプトが表示されます。プロンプトに従ってプロセスを完了します。
    Follow the browser prompts and then on your registered multi-factor authentication prompt to sign in
  3. Azure ポータルに正常にサインインしたことを確認します。ブラウザのウィンドウを閉じます。

テストで使用したポリシーの削除:

このチュートリアルの一部として構成されたAzure Multi-Factor Authenticationを有効にするために条件付きアクセス ポリシーを使用しない場合は、次の手順を使用してポリシーを削除します。

  1. Azureポータルにサインインします。
  2. Azure Active Directoryを検索して選択し、左側のメニューからセキュリティを選択します。
  3. 条件付きアクセスを選択し、テストで使用したポリシーを選択します。
  4. 「削除」 を選択し、確認後。削除を実行します。