条件付きアクセスとはWhat is Conditional Access?

• 2020/05/21
• • 
  • 
  • 

現在のセキュリティ境界は組織のネットワークの外にまで広がり、ユーザーとデバイスの ID が境界の中に含まれるようになっています。The modern security perimeter now extends beyond an organization's network to include user and device identity. 組織では、アクセス制御に関する決定を行う過程で、これらの ID シグナルを利用できます。Organizations can utilize these identity signals as part of their access control decisions.

条件付きアクセスは、Azure Active Directory で使用されるツールです。このツールによって、シグナルをまとめて、決定を行い、組織のポリシーを適用することができます。Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。Conditional Access is at the heart of the new identity driven control plane.

条件付きアクセス ポリシーは、簡単に言えば、ユーザーがリソースにアクセスする場合、ユーザーはアクションを完了する必要があるという if-then ステートメントです。Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. 例:給与管理者は、給与処理アプリケーションにアクセスする必要があります。アクセスには多要素認証を実行することが要求されます。Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

管理者が直面している 2 つの主な目標は次のとおりです。Administrators are faced with two primary goals:

• 場所や時間を問わず、常にユーザーの生産性を高められるようにすることEmpower users to be productive wherever and whenever
• 組織の資産を保護することProtect the organization's assets

条件付きアクセス ポリシーを使用すると、必要な場合は適切なアクセス制御を適用して組織のセキュリティを維持し、必要でない場合はユーザーの邪魔にならないようにすることができます。By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。Conditional Access policies are enforced after the first-factor authentication has been completed. 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

一般的なシグナルCommon signals

ポリシーに基づく決定を行うときに、条件付きアクセスで考慮することができる一般的なシグナルには、次のようなシグナルがあります。Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

• ユーザーまたはグループ メンバーシップUser or group membership
  • 特定のユーザーとグループをポリシーの対象にすることができるため、管理者はアクセスをきめ細かく制御できます。Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
• IP の場所に関する情報IP Location information
  • 組織では、ポリシーに基づく決定を行うときに使用できる、信頼された IP アドレス範囲を作成できます。Organizations can create trusted IP address ranges that can be used when making policy decisions.
  • 管理者は、国/地域全体の IP 範囲を指定して、その範囲からのトラフィックをブロックまたは許可することができます。Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
• DeviceDevice
  • 条件付きアクセス ポリシーを適用するとき、特定のプラットフォームのデバイスまたは特定の状態であるとマークされたデバイスを使用しているユーザーを使用できます。Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
• ApplicationApplication
  • 特定のアプリケーションにアクセスしようとするユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。Users attempting to access specific applications can trigger different Conditional Access policies.
• リアルタイムでの計算されたリスクの検出Real-time and calculated risk detection
  • シグナルと Azure AD Identity Protection の統合により、条件付きアクセス ポリシーで危険なサインイン動作を特定できます。Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. その上で、ポリシーでユーザーにパスワード変更や多要素認証の実行を強制してリスク レベルを下げることや、管理者が手動で対処するまでユーザーのアクセスをブロックすることができます。Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
• Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
  • ユーザーのアプリケーションへのアクセスとセッションをリアルタイムで監視および制御できるようにします。クラウド環境へのアクセスと、クラウド環境で実行されるアクティビティの可視性を高めて制御を強化できます。Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

一般的な決定Common decisions

• アクセスのブロックBlock access
  • 最も制限の厳しい決定Most restrictive decision
• アクセス権の付与Grant access
  • 最も制限が弱い決定でも、次のオプションのうち 1 つ以上を要求することができます。Least restrictive decision, can still require one or more of the following options:
    • 多要素認証が必要ですRequire multi-factor authentication
    • デバイスは準拠としてマーク済みである必要があるRequire device to be marked as compliant
    • ハイブリッド Azure AD 参加済みのデバイスを必要とするRequire Hybrid Azure AD joined device
    • 承認済みクライアント アプリを必須にするRequire approved client app
    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

一般的に適用されるポリシーCommonly applied policies

多くの組織には、次のような一般的なアクセスの問題があり、それらに対して条件付きアクセス ポリシーが役に立ちます。Many organizations have such as:

• 管理者の役割を持つユーザーに多要素認証を要求するRequiring multi-factor authentication for users with administrative roles
• Azure 管理タスクに対して多要素認証を要求するRequiring multi-factor authentication for Azure management tasks
• レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックするBlocking sign-ins for users attempting to use legacy authentication protocols
• Azure Multi-Factor Authentication の登録に信頼できる場所を要求するRequiring trusted locations for Azure Multi-Factor Authentication registration
• 特定の場所からのアクセスをブロックまたは許可するBlocking or granting access from specific locations
• リスクの高いサインイン動作をブロックするBlocking risky sign-in behaviors
• 特定のアプリケーションに対して、組織のマネージド デバイスを必要とするRequiring organization-managed devices for specific applications

お客様導入事例Customer case studies

Azure AD の条件付きアクセスを使用して、自動化されたアクセス制御の決定を定義および実装するために他の組織がどのようにしているかを紹介します。Discover how other organizations use Azure AD Conditional Access to define and implement automated access control decisions. 以下の特集記事は、これらの顧客ニーズがどのようにして満たされるかを示しています。The following featured stories demonstrate how these customer needs are met.

• Wipro は Microsoft のクラウド セキュリティ ツールによってモバイルの生産性を高め、顧客との関係を強化します。Wipro drives mobile productivity with Microsoft cloud security tools to improve customer engagements. 同社では、Azure AD の条件付きアクセス ポリシーによって、独自の企業データに対する統制は維持したまま、(各自の資格情報を使用できる) 信頼された外部エンティティとの間でドキュメント、リソース、およびアプリケーションを共有することが可能になりました。The Conditional Access policies in Azure AD have enabled the company to share documents, resources, and applications with trusted outside entities---who can use their own credentials---while maintaining control over its own corporate data.
• グローバル物流輸送企業の Aramex delivery limited は、ID とアクセスの管理ソリューションを用いて、クラウドで結び付いたオフィスを構築します。. Aramex の遠隔地の従業員にとって、安全なアクセスを確保することは特に困難でした。Ensuring secure access was especially difficult with Aramex's remote employees. 同社では現在、条件付きアクセスを応用して、こうした遠隔地の従業員がネットワークの外から同社の SaaS アプリケーションにアクセスできるようにしています。The company is now applying Conditional Access to let these remote employees access their SaaS applications from outside the network. 条件付きアクセスのルールによって多要素認証の強制の有無を決定し、適切な従業員のみに適切なアクセスが付与されるようにしています。The Conditional Access rule will decide whether to enforce Multi-Factor Authentication, giving only the right people the right access.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。Using this feature requires an Azure AD Premium P1 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see .

Microsoft 365 Business Premium ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。Customers with also have access to Conditional Access features.

次のステップNext steps

• 条件付きアクセス ポリシーを 1 つずつ作成するBuilding a Conditional Access policy piece by piece
• 条件付きアクセスのデプロイを計画するPlan your Conditional Access deployment
• Identity Protection について学ぶLearn about Identity Protection
• Microsoft Cloud App Security について学ぶLearn about Microsoft Cloud App Security
• Microsoft Intune について学ぶLearn about Microsoft Intune