条件付きアクセス:アクセスのブロックConditional Access: Block access

保守的なクラウド移行アプローチを採用している組織では、すべてをブロックするポリシーが選択肢になります。For organizations with a conservative cloud migration approach, the block all policy is an option that can be used.

注意事項

ブロック ポリシーが正しく構成されていないと、組織が Azure portal からロックアウトされる可能性があります。Misconfiguration of a block policy can lead to organizations being locked out of the Azure portal.

このようなポリシーは、意図しない副作用をもたらす可能性があります。Policies like these can have unintended side effects. 有効にする前に、適切なテストと検証が不可欠です。Proper testing and validation are vital before enabling. 管理者は、変更を行うにあたり、条件付きアクセスのレポート専用モード条件付きアクセスの What If ツールなどのツールを利用する必要があります。Administrators should utilize tools such as and when making changes.

ユーザーの除外User exclusions

条件付きアクセス ポリシーは強力なツールであり、以下のアカウントはポリシーから除外することをお勧めします。Conditional Access policies are powerful tools, we recommend excluding the following accounts from your policy:

  • 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 or accounts to prevent tenant-wide account lockout. 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスを復旧する手順を実行できます。In the unlikely scenario all administrators are locked out of your tenant, your emergency-access administrative account can be used to log into the tenant take steps to recover access.
  • サービス アカウントサービス プリンシパル (Azure AD Connect 同期アカウントなど)。 and , such as the Azure AD Connect Sync Account. サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。Service accounts are non-interactive accounts that are not tied to any particular user. これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。They are normally used by back-end services allowing programmatic access to applications, but are also used to sign in to systems for administrative purposes. プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。Service accounts like these should be excluded since MFA can't be completed programmatically. サービス プリンシパルによって行われた呼び出しは、条件付きアクセスによってブロックされることはありません。Calls made by service principals are not blocked by Conditional Access.
    • 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。If your organization has these accounts in use in scripts or code, consider replacing them with . これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。As a temporary workaround, you can exclude these specific accounts from the baseline policy.

条件付きアクセス ポリシーを作成するCreate a Conditional Access policy

次の手順では、ユーザーが信頼できるネットワークにいない場合に Office 365 を除くすべてのアプリへのアクセスをブロックする条件付きアクセス ポリシーを作成します。The following steps will help create Conditional Access policies to block access to all apps except for if users are not on a trusted network. これらのポリシーはレポート専用モードとなり、管理者が既存のユーザーに与える影響を判断できるようになります。These policies are put in to to start so administrators can determine the impact they will have on existing users. 意図したとおりにポリシーが適用されていることを確認したら、管理者はそのポリシーをオンに切り替えることができます。When administrators are comfortable that the policies apply as they intend, they can switch them to .

最初のポリシーでは、信頼できる場所にいない場合、Office 365 アプリケーションを除くすべてのアプリへのアクセスをブロックします。The first policy blocks access to all apps except for Office 365 applications if not on a trusted location.

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to > > .
  3. [新しいポリシー] を選択します。Select .
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under , select .
    1. [Include](含める) で、 [すべてのユーザー] を選択します。Under , select .
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。Under , select and choose your organization's emergency access or break-glass accounts.
    3. [Done] を選択します。Select .
  6. [Cloud apps or actions](クラウド アプリまたはアクション) で、次のオプションを選択します。Under , select the following options:
    1. [Include](含める) で、 [すべてのクラウド アプリ] を選択します。Under , select .
    2. [Exclude](除外) で、 [Office 365 (preview)](Office 365 (プレビュー)) を選択し、 [選択][完了] の順に選択します。Under , select , select , then select .
  7. [条件] で、次の手順を実行します。Under :
    1. [条件] > [Location](場所)Under > .
      1. [Configure](構成する)[はい] に設定しますSet to
      2. [Include](含める) で、 [すべての場所] を選択します。Under , select .
      3. [Exclude](除外) で、 [すべての信頼できる場所] を選択します。Under , select .
      4. [Done] を選択します。Select .
    2. [クライアント アプリ (プレビュー)] で、 [構成する][はい] に設定し、 [完了][完了] の順に選択します。Under , set to , and select , then .
  8. [アクセス制御] > [許可] で、 [アクセスのブロック][選択] の順に選択します。Under > , select , then select .
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。Confirm your settings and set to .
  10. [作成] を選択して、ポリシーを作成および有効化します。Select to create to enable your policy.

次のようにして、Office 365 のユーザーに多要素認証または準拠デバイスを要求する 2 番目のポリシーを作成します。A second policy is created below to require multi-factor authentication or a compliant device for users of Office 365.

  1. [新しいポリシー] を選択します。Select .
  2. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  3. [割り当て] で、 [ユーザーとグループ] を選択します。Under , select .
    1. [Include](含める) で、 [すべてのユーザー] を選択します。Under , select .
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。Under , select and choose your organization's emergency access or break-glass accounts.
    3. [Done] を選択します。Select .
  4. [Cloud apps or actions](クラウド アプリまたはアクション) > [Include](含める) で、 [アプリを選択][Office 365 (preview)](Office 365 (プレビュー))[選択][完了] の順に選択します。Under > , select , choose , and select , then .
  5. [アクセス制御] > [許可] で、 [アクセス権の付与] を選択します。Under > , select .
    1. [Require multi-factor authentication](多要素認証が必要) および [デバイスは準拠としてマーク済みである必要があります] を選択し、 [選択] を選択します。Select and select .
    2. [選択したコントロールすべてが必要] が選択されていることを確認します。Ensure is selected.
    3. [選択] を選択します。Select .
  6. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。Confirm your settings and set to .
  7. [作成] を選択して、ポリシーを作成および有効化します。Select to create to enable your policy.

次のステップNext steps

Conditional Access common policies (条件付きアクセスの一般的なポリシー)

条件付きアクセスのレポート専用モードを使用した影響を判断するDetermine impact using Conditional Access report-only mode

Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)