条件付きアクセスとは

現在のセキュリティ境界は組織のネットワークの外にまで広がり、ユーザーとデバイスの ID が含まれるようになっています。 組織は、アクセス制御に関する決定を行う過程で、これらの ID ドリブン シグナルを使用できるようになっています。 Microsoft Entra 条件付きアクセスは、決定のためにシグナルをまとめ、組織のポリシーを適用します。 条件付きアクセスは、ポリシーの決定を実施する際に、さまざまなソースからのシグナルを考慮に入れた Microsoft の ゼロ トラスト ポリシー エンジン です。

最も単純な条件付きアクセス ポリシーは if-then ステートメントです。ユーザーがリソースにアクセスする場合は、アクションを完了する必要があります。 たとえば、ユーザーが Microsoft 365 などのアプリケーションまたはサービスにアクセスする場合、アクセスを取得するために多要素認証を実行する必要があります。

管理者は、次の 2 つの主な目標に直面しています。

• 場所や時間を問わず、ユーザーの生産性を向上させること
• 組織の資産を保護すること

条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持します。

一般的なシグナル

条件付きアクセスでは、さまざまなソースからのシグナルを使用して、アクセスの決定を行います。

これらのシグナルには、次のものが含まれます。

• ユーザーまたはグループ メンバーシップ
  • ポリシーは特定のユーザーとグループを対象とすることができ、管理者はアクセスをきめ細かく制御できます。
• IP の場所に関する情報
  • 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。
  • 管理者は、トラフィックをブロックまたは許可する国またはリージョン全体の IP 範囲を指定できます。
• デバイス
  • 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。
  • デバイスのフィルターを使用して、特権アクセス ワークステーションなどの特定のデバイスを対象にポリシーを設定します。
• アプリケーション
  • ユーザーが特定のアプリケーションにアクセスしようとしたときに、さまざまな条件付きアクセス ポリシーをトリガーします。
• リアルタイムでの計算されたリスクの検出
  • Microsoft Entra ID Protection からのシグナルを統合して、危険なユーザーとサインイン動作を特定して修復します。
• Microsoft Defender for Cloud Apps
  • ユーザー アプリケーションのアクセスとセッションをリアルタイムで監視および制御します。 この統合により、クラウド環境でのアクセスとアクティビティの可視性と制御が向上します。

一般的な決定

• アクセスのブロックは、最も制限の厳しい決定です。
• アクセス権を付与します。
• 次のオプションの 1 つ以上を必要とする可能性がある、制限の緩い決定。
  • 多要素認証が必要です。
  • 認証強度が必要です。
  • デバイスを準拠しているとマークする必要があります。
  • Microsoft Entra ハイブリッド参加済みデバイスが必要です。
  • 承認されたクライアント アプリが必要です。
  • アプリ保護ポリシーが必要です。
  • パスワードの変更が必要です。
  • 使用条件が必要です。

一般的に適用されるポリシー

多くの組織には、 次のような条件付きアクセス ポリシーが役立つ一般的なアクセスの懸念があります。

• 管理者の役割を持つユーザーに多要素認証を要求する
• Azure 管理タスクに多要素認証を要求する
• レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする
• セキュリティ情報の登録に信頼できる場所を要求する
• 特定の場所からのアクセスをブロックまたは許可する
• リスクの高いサインイン動作をブロックする
• 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする

管理者は、ポータルまたは Microsoft Graph API を使用して、ポリシーを最初から作成したり、テンプレート ポリシーから開始したりできます。

管理エクスペリエンス

条件付きアクセス管理者ロールを持つ管理者は、ポリシーを管理できます。

条件付きアクセスは 、Microsoft Entra 管理センター の Entra ID>Conditional Access にあります。

• [概要] ページには、ポリシーの状態、ユーザー、デバイス、アプリケーションの概要と、一般的なアラートとセキュリティアラートが表示されます。
• [ 対象範囲] ページには、過去 7 日間の条件付きアクセス ポリシーカバレッジの有無に関するアプリケーションの概要が表示されます。
• [ 監視] ページでは、管理者は、ポリシー カバレッジの潜在的なギャップを確認するためにフィルター処理できるサインインのグラフを表示できます。

[ ポリシー ] ページの条件付きアクセス ポリシーは、アクター、ターゲット リソース、条件、適用されたコントロール、状態、日付などの項目に基づいて管理者によってフィルター処理できます。 このフィルター処理機能を使用すると、管理者は構成に基づいて特定のポリシーをすばやく見つけることができます。

条件付きアクセスの最適化エージェント

Microsoft Security Copilot の 条件付きアクセス最適化エージェント (プレビュー) では、ゼロ トラストの原則と Microsoft のベスト プラクティスに基づいて、新しいポリシーと既存のポリシーへの変更が提案されます。 1 回のクリックで提案を適用して、条件付きアクセス ポリシーを自動的に更新または作成します。 エージェントには、少なくとも Microsoft Entra ID P1 ライセンスと セキュリティ コンピューティング ユニット (SCU) が必要です。

ライセンス要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。

Microsoft 365 Business Premium ライセンスをお持ちのお客様は、条件付きアクセス機能を使用することもできます。

条件付きアクセス ポリシーと対話するその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。 これには、Microsoft Entra ワークロード ID、Microsoft Entra ID Protection、Microsoft Purview が含まれます。

条件付きアクセスに必要なライセンスの有効期限が切れると、ポリシーは自動的に無効または削除されません。 この正常な状態により、お客様は、セキュリティ体制を急激に変更することなく、条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新することはできません。

セキュリティの既定値は 、ID 関連の攻撃から保護するのに役立ち、すべての顧客が利用できます。

ゼロ トラスト

この機能は、組織がゼロ トラスト アーキテクチャの 3 つの基本原則に ID を 合わせるのに役立ちます。

• 明示的に検証する
• 最小特権を使う
• 侵害を想定する

ゼロ トラストの詳細と、組織を基本原則に合わせるその他の方法については、 ゼロ トラスト ガイダンス センターを参照してください。

次のステップ

• 条件付きアクセスの展開を計画する