条件付きアクセスポリシーのポイントを3つご紹介

はじめに

従業員がリソースにアクセスする際に、
 ✓ 社外からのアクセスは多要素認証を要求させたい
 ✓ 会社が認めたデバイスからのみアクセスを許可したい
など、セキュリティリスクを考慮すると色々な要望が出てくると思います。
 
条件付きアクセスポリシーは、まさに上記を実現することができす。
Entra IDには、どんなユーザーが、どんなデバイスから、どんな場所で、どんなクライアントアプリを使ってアクセスしたかを判定するロジックが搭載されています。
そして判定した結果、アクセスを許可・ブロック・PWを強要などの制御が可能になります。


ポリシーの適用対象はMicrosoft製アプリだけでなく、Entra IDと連携されている3thアプリ、自社で開発してEntra IDと連携されているアプリも対象にできるため、自社のアプリにおいてもセキュリティの向上を図ることができます。

今回は、条件付きアクセスの仕組みについて、ポイントを3つご紹介します。

 

 

ポイント1:「対象」よりも「対象外」が勝つ

条件付きアクセスポリシーは、「対象外」を使うことで効率的に割り当て条件を指定することができます。
以下に例をご提示いたします。

■例

要件:Test01以外のすべてのユーザーに対して、あるアプリへのアクセスをブロックさせたい。

設定値:割り当てユーザーの「対象」にすべてのユーザー、「対象外」にTest01を指定する

この状態で、あるアプリに対してアクセスをブロックする場合、Test01以外のすべてのユーザーに対してはアクセスがブロックされる動きになります。

 

 

ポイント2:ブラックリスト方式で考える

明示的にポリシーを指定しない限り、アクセスは許可される動きになります。

条件付きアクセスポリシーで指定できるのは、以下つのパターンのみです。

 ・割り当て条件に該当する場合  →  アクセスをブロック

 ・割り当て条件に該当する場合  →  制限付きでアクセスを許可する

よって、既定でアクセスは許可されている状態であるため、「許可」というポリシーを設定することはできません。

 

例えば、以下2つのポリシーが設定されているとします。

ポリシー1:グループAのメンバーがE/Oにアクセスする時は、多要素認証が必要になる
ポリシー2:グループBがE/Oにアクセスする時は、ブロックする

この状態で、グループBのメンバーがあるアプリAにアクセスする時は、ポリシーで定義されている条件に該当しないため、アクセスは許可されます。

 

 

ポイント3:ポリシーに優先順位は無い

割り当て条件に合致したサインインイベントに対して、ポリシーで定義されている制御がすべて適用されます。

また、許可よりもブロックが勝つ動きになります。

例えば、メンバーAにおいて、あるポリシーで多要素認証が要求され、ある別のポリシーでブロックされる場合、メンバーAのアクセスはブロックされる動きになります。

 

 

おわりに

条件付きアクセスポリシーを活用して設定することで、よりセキュアなID環境が実現できることでしょう。

弊社は条件付きアクセスをはじめとする導入支援を行っています。

お気軽にお問い合わせください。

お問い合わせはこちら

いいね (この記事が参考になった人の数:2)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください