条件付きアクセス ポリシーを使用してセキュリティ情報の登録を保護する

Microsoft Entra 多要素認証とセルフサービス パスワード リセットの登録をユーザーがいつどのように行うかについてのセキュリティ保護が、条件付きアクセス ポリシーのユーザー アクションを使用して可能になりました。 この機能は、 統合された登録を有効にする組織で使用できます。 この機能により、組織は、条件付きアクセス ポリシー内のアプリケーションと同様に登録プロセスを処理し、条件付きアクセスの機能を最大限に活用してエクスペリエンスをセキュリティ保護できます。 Microsoft Authenticator アプリにサインインしているか、パスワードレスの電話によるサインインを有効にしているユーザーは、このポリシーの対象となります。

一部の組織では、これまで、登録エクスペリエンスをセキュリティ保護する手段として、信頼されたネットワークの場所またはデバイスのコンプライアンスを使用していた場合がありました。 Microsoft Entra ID に 一時アクセス パス を追加することで、管理者はユーザーに時間制限付きの資格情報を提供して、任意のデバイスまたは場所から登録できます。 一時アクセス パスの資格情報は、多要素認証の条件付きアクセス要件を満たしています。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

• ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラスアカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
  • 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
• サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
  • これらのアカウントがスクリプトまたはコードで使用されている場合は、 マネージド ID に置き換えることを検討してください。

テンプレートのデプロイ

組織は、次に示す手順を使用するか、 条件付きアクセス テンプレートを使用して、このポリシーを展開することを選択できます。

登録をセキュリティ保護するためのポリシーを作成する

次のポリシーは、統合された登録エクスペリエンスを使用して登録を試みる選択ユーザーに適用されます。 このポリシーでは、信頼されたネットワーク上にいないユーザーが多要素認証を行う必要があります。 信頼されたネットワークのユーザーは、このポリシーから除外されます。

1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
2. Entra ID>Conditional Access>Policies に移動します。
3. [ 新しいポリシー] を選択します。
4. [名前] に、このポリシーの名前を入力します。 たとえば、 TAP を使用したセキュリティ情報の統合登録などです。
5. [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。

   1. [ 含める] で、[ すべてのユーザー] を選択します。

      警告

      統合された登録に対してユーザーを有効にする必要があります。

   2. [ 除外] の下。

      1. [すべてのゲスト ユーザーと外部ユーザー] を選択します。

         注

         ゲスト ユーザーに対しては、一時アクセス パスは機能しません。

      2. ユーザーとグループを選択し、組織の緊急アクセスまたはブレークグラスアカウントを選択します。

6. [ ターゲット リソース>ユーザー アクション] で、[ セキュリティ情報の登録] をオンにします。
7. [条件]>[位置情報]。
   1. [ 構成] を [はい] に設定します。
      1. 任意の場所を含めます。
      2. 信頼できるすべての場所を除外します。
8. [ アクセス制御>許可] で、[アクセス権の 付与] を選択します。
   1. [ 認証強度を要求する] を選択し、一覧から適切な組み込みまたはカスタム認証強度を選択します。
   2. 選択を選択します。
9. 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
10. [ 作成] を選択して作成し、ポリシーを有効にします。

管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

管理者は、新しいユーザーに対して一時アクセス パス資格情報を発行する必要があります。これにより、登録するための多要素認証の要件を満たすことができるようになります。 このタスクを実行する手順については、「 Microsoft Entra 管理センターで一時アクセス パスを作成する」セクションを参照してください。

組織は、手順 8a で 多要素認証 を要求する場合と、その代わりに他の許可コントロールを要求することを選択できます。 複数のコントロールを選択する場合は、この変更を行うときに、 選択したコントロールのすべて または 1 つ を必要とする適切なラジオ ボタントグルを選択してください。

ゲスト ユーザーの登録

ディレクトリで多要素認証に登録する必要がある ゲスト ユーザー の場合は、次のガイドを使用して 、信頼されたネットワークの場所 の外部からの登録をブロックすることができます。

1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
2. Entra ID>Conditional Access>Policies に移動します。
3. [ 新しいポリシー] を選択します。
4. [名前] に、このポリシーの名前を入力します。 たとえば、 信頼されたネットワークでのセキュリティ情報の統合登録などです。
5. [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
   1. [ 含める] で、[ すべてのゲスト ユーザーと外部ユーザー] を選択します。
6. [ ターゲット リソース>ユーザー アクション] で、[ セキュリティ情報の登録] をオンにします。
7. [条件]>[位置情報]。
   1. [はい] を構成します。
   2. 任意の場所を含めます。
   3. 信頼できるすべての場所を除外します。
8. アクセス制御の下で>許可を与える。
   1. アクセスをブロックを選択します。
   2. 次に、[選択] を 選択します。
9. 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
10. [ 作成] を選択して作成し、ポリシーを有効にします。

管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

関連するコンテンツ

• Microsoft Entra 組み込みロール
• 条件付きアクセス テンプレート
• ユーザーに認証情報の再確認を要求する