Azure Active Directory の条件付きアクセスのベスト プラクティスBest practices for Conditional Access in Azure Active Directory
Azure Active Directory (Azure AD) の条件付きアクセスを使うと、承認されたユーザーによるクラウド アプリへのアクセスを制御できます。With , you can control how authorized users access your cloud apps. この記事では、次の項目に関する情報を提供します。This article provides you with information about:
- 知っておくべきことThings you should know
- 条件付きアクセス ポリシーを構成するときに避けるべきことWhat it is you should avoid doing when configuring Conditional Access policies.
この記事は、「Azure Active Directory の条件付きアクセスとは」で説明する概念と用語について理解していることを前提としています。This article assumes that you are familiar with the concepts and the terminology outlined in
ポリシーを機能させるために必要なことWhat's required to make a policy work?
新しいポリシーを作成するとき、ユーザー、グループ、アプリケーション、またはアクセスの制御は選択されていません。When you create a new policy, there are no users, groups, apps, or access controls selected.
ポリシーを機能させるには、以下を構成する必要があります。To make your policy work, you must configure:
| 対象What | 方法How | 理由Why |
|---|---|---|
| クラウド アプリ | 1 つまたは複数のアプリを選択します。Select one or more apps. | 条件付きアクセス ポリシーの目的は、許可されているユーザーがクラウド アプリにアクセスする方法を制御できるようにすることです。The goal of a Conditional Access policy is to enable you to control how authorized users can access cloud apps. |
| ユーザーとグループ | 選択したクラウド アプリにアクセスする権限が付与されたユーザーまたはグループを、少なくとも 1 つ選択します。Select at least one user or group that is authorized to access your selected cloud apps. | ユーザーとグループが割り当てられていない条件付きアクセス ポリシーがトリガーされることはありません。A Conditional Access policy that has no users and groups assigned, is never triggered. |
| アクセス制御 | アクセスの制御を少なくとも 1 つ選択します。Select at least one access control. | 条件が満たされた場合のポリシー プロセッサの対応を決める必要があります。If your conditions are satisfied, your policy processor needs to know what to do. |
知っておくべきことWhat you should know
条件付きアクセス ポリシーはどのように適用されますか。How are Conditional Access policies applied?
クラウド アプリにアクセスするときに、複数の条件付きアクセス ポリシーが適用される場合があります。More than one Conditional Access policy may apply when you access a cloud app. この場合、適用されるすべてのポリシーを満たす必要があります。In this case, all policies that apply must be satisfied. たとえば、あるポリシーで多要素認証(MFA)が必要で、別のポリシーで準拠デバイスが必要な場合、MFAを完了し、準拠デバイスを使用する必要があります。For example, if one policy requires multi-factor authentication (MFA) and another requires a compliant device, you must complete MFA, and use a compliant device.
すべてのポリシーは 2 つのフェーズで適用されます。All policies are enforced in two phases:
- フェーズ 1:Phase 1:
- 詳細なコレクション:詳細を収集して、すでに満たされているポリシーを特定します。Detail collection: Gather details to identify policies that would already be satisfied.
- このフェーズでは、デバイスのコンプライアンスが条件付きアクセスポリシー部分である場合、ユーザーに証明書がプロンプト表示される場合があります。During this phase, users may see a certificate prompt if device compliance is part of your Conditional Access policies. このプロンプトは、デバイスのオペレーティングシステムが Windows 10 ではない場合に、ブラウザー アプリで発生する可能性があります。This prompt may occur for browser apps when the device operating system is not Windows 10.
- ポリシー評価のフェーズ 1 は、すべての有効になっているポリシーと レポート専用モード のポリシーで発生します。Phase 1 of policy evaluation occurs for all enabled policies and policies in .
- フェーズ 2:Phase 2:
- 強化:フェーズ 1 で収集された詳細を考慮して、満たされていない追加の要件を満たすようにユーザーに要求します。Enforcement: Taking in to account the details gathered in phase 1, request user to satisfy any additional requirements that have not been met.
- セッションに結果を適用します。Apply results to session.
- ポリシー評価のフェーズ 2 は、すべての有効になっているポリシーで発生します。Phase 2 of policy evaluation occurs for all enabled policies.
割り当てはどのように評価されますか。How are assignments evaluated?
すべての割り当ては、論理的に AND 処理されます。All assignments are logically . 複数の割り当てを構成した場合、ポリシーをトリガーするには、すべての割り当てが満たされている必要があります。If you have more than one assignment configured, all assignments must be satisfied to trigger a policy.
組織のネットワークの外部から行われたすべての接続に適用される場所の条件を構成する必要がある場合は、次を行います。If you need to configure a location condition that applies to all connections made from outside your organization's network:
- すべての場所を含めるInclude
- すべての信頼できる IP を除外するExclude
Azure AD 管理ポータルからロックアウトされた場合はどのように対処すればよいですか。What to do if you are locked out of the Azure AD admin portal?
条件付きアクセス ポリシーが正しく設定されていないことが原因で Azure AD ポータルからロックアウトされた場合は、次の操作を行います。If you are locked out of the Azure AD portal due to an incorrect setting in a Conditional Access policy:
- まだブロックされていない管理者が組織にいるかどうかが確認されます。Check is there are other administrators in your organization that aren't blocked yet. Azure Portal へのアクセス権を持つ管理者であれば、ご自身のサインインに影響するポリシーを無効にできます。An administrator with access to the Azure portal can disable the policy that is impacting your sign in.
- ポリシーを更新できる管理者が組織にいない場合は、サポート要求を送信する必要があります。If none of the administrators in your organization can update the policy, you need to submit a support request. Microsoft サポートが、アクセスの妨げとなっている条件付きアクセス ポリシーを確認し、更新できます。Microsoft support can review and update Conditional Access policies that are preventing access.
Azure クラシック ポータルと Azure Portal の両方にポリシーが構成されている場合はどうなりますか。What happens if you have policies in the Azure classic portal and Azure portal configured?
Azure Active Directory によって両方のポリシーが適用されます。ユーザーは、すべての要件が満たされた場合のみ、アクセスできます。Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.
Intune Silverlight ポータルと Azure Portal の両方にポリシーが構成されている場合はどうなりますか。What happens if you have policies in the Intune Silverlight portal and the Azure portal?
Azure Active Directory によって両方のポリシーが適用されます。ユーザーは、すべての要件が満たされた場合のみ、アクセスできます。Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.
同じユーザーに対して複数のポリシーが構成されている場合はどうなりますか。What happens if I have multiple policies for the same user configured?
毎回のサインインで、すべてのポリシーが Azure Active Directory によって評価され、すべての要件が満たされていることを確認したうえで、ユーザーのアクセスが許可されます。For every sign-in, Azure Active Directory evaluates all policies and ensures that all requirements are met before granted access to the user. アクセスのブロックは、他のすべての構成設定よりも優先されます。Block access trumps all other configuration settings.
条件付きアクセスは、Exchange ActiveSync と連携しますか。Does Conditional Access work with Exchange ActiveSync?
はい。条件付きアクセス ポリシーで Exchange ActiveSync を使用できます。Yes, you can use Exchange ActiveSync in a Conditional Access policy.
SharePoint Online や Exchange Online などの一部のクラウド アプリでは、レガシ認証プロトコルもサポートされています。Some cloud apps like SharePoint Online and Exchange Online also support legacy authentication protocols. クライアント アプリでクラウド アプリへのアクセスにレガシ認証プロトコルを利用できる場合、そのようなアクセスの試行に対しては Azure AD の条件付きアクセス ポリシーを適用できません。When a client app can use a legacy authentication protocol to access a cloud app, Azure AD cannot enforce a Conditional Access policy on this access attempt. クライアント アプリがポリシーの適用を回避する事態を防ぐため、該当するクラウド アプリで先進認証のみを有効にできるかどうかを確認する必要があります。To prevent a client app from bypassing the enforcement of policies, you should check whether it is possible to only enable modern authentication on the affected cloud apps.
Office 365 アプリでは条件付きアクセスをどのように構成すればよいですか。How should you configure Conditional Access with Office 365 apps?
Office 365 のアプリは相互接続されているため、ポリシーを作成する際は、よく使うアプリを一緒に割り当てることをお勧めします。Because Office 365 apps are interconnected, we recommend assigning commonly used apps together when creating policies.
相互接続される一般的なアプリケーションとしては、Microsoft Flow、Microsoft Planner、Microsoft Teams、Office 365 Exchange Online、Office 365 SharePoint Online、Office 365 Yammer などがあります。Common interconnected applications include Microsoft Flow, Microsoft Planner, Microsoft Teams, Office 365 Exchange Online, Office 365 SharePoint Online, and Office 365 Yammer.
このことは、多要素認証など、ユーザーとのやり取りを必要とするポリシーで、セッションまたはタスクの開始時にアクセスを制御する際に重要となります。It is important for policies that require user interactions, like multi-factor authentication, when access is controlled at the beginning of a session or task. そのようにしなかった場合、ユーザーがアプリ内で一部のタスクを実行できなくなります。If you don't, users won't be able to complete some tasks within an app. たとえば、アンマネージド デバイスで SharePoint にアクセスする際にのみ多要素認証を要求し、メールにアクセスする際には要求しなかった場合、メールで作業しているユーザーが、SharePoint ファイルをメッセージに添付できなくなります。For example, if you require multi-factor authentication on unmanaged devices to access SharePoint but not to email, users working in their email won't be able to attach SharePoint files to a message. 詳細については、「Azure Active Directory 条件付きアクセスのサービス依存関係の概要」をご覧ください。More information can be found in the article, .
避けるべきことWhat you should avoid doing
条件付きアクセス フレームワークは、優れた構成柔軟性を提供します。The Conditional Access framework provides you with a great configuration flexibility. ただし、柔軟性が高いということは、リリースの前に各構成ポリシーを慎重に見直して、望ましくない結果を避ける必要があることも意味します。However, great flexibility also means that you should carefully review each configuration policy before releasing it to avoid undesirable results. この状況では、すべてのユーザー/グループ/クラウド アプリなどの完全なセットに影響する割り当てには特に注意を払う必要があります。In this context, you should pay special attention to assignments affecting complete sets such as .
お客様の環境では、次の構成を避ける必要があります。In your environment, you should avoid the following configurations:
すべてのユーザー、すべてのクラウド アプリに対して:
- アクセスのブロック - この構成では組織全体がブロックされるため、明らかによい方法ではありません。 - This configuration blocks your entire organization, which is definitely not a good idea.
- 準拠しているデバイスが必要です - 登録されたデバイスをまだ持っていないユーザーに対して、このポリシーは Intune ポータルへのアクセスを含むすべてのアクセスをブロックします。 - For users that have not enrolled their devices yet, this policy blocks all access including access to the Intune portal. このポリシーにより、登録済みのデバイスを持たない管理者は、Azure Portal に戻ってポリシーを変更することができなくなります。If you are an administrator without an enrolled device, this policy blocks you from getting back into the Azure portal to change the policy.
- ドメインへの参加が必要 - このポリシーでは、ドメイン参加済みデバイスをまだ持っていない場合に、組織内のすべてのユーザーのアクセスがブロックされる可能性もあります。 - This policy block access has also the potential to block access for all users in your organization if you don't have a domain-joined device yet.
- アプリの保護ポリシーが必要 - このポリシーでは、Intune ポリシーがない場合に、組織内のすべてのユーザーのアクセスがブロックされる可能性もあります。 - This policy block access has also the potential to block access for all users in your organization if you don't have an Intune policy. Intune のアプリの保護ポリシーがあるクライアント アプリケーションを使用していない管理者は、Intune や Azure などのポータルに戻ることが、このポリシーによってブロックされます。If you are an administrator without a client application that has an Intune app protection policy, this policy blocks you from getting back into portals such as Intune and Azure.
すべてのユーザー、すべてのクラウド アプリ、すべてのデバイス プラットフォームに対して:
- アクセスのブロック - この構成では組織全体がブロックされるため、明らかによい方法ではありません。 - This configuration blocks your entire organization, which is definitely not a good idea.
新しいポリシーはどのように展開する必要がありますか。How should you deploy a new policy?
最初に、what if ツールを使用してポリシーを評価します。As a first step, you should evaluate your policy using the .
新しいポリシーを環境で使用する準備が整ったら、段階的に展開します。When new policies are ready for your environment, deploy them in phases:
- 少数のユーザーにポリシーを適用し、想定どおりに動作することを確認します。Apply a policy to a small set of users and verify it behaves as expected.
- ポリシーを拡張して、含めるユーザーを増やすとき。When you expand a policy to include more users. 続けてすべての管理者をポリシーから除外し、管理者がまだアクセスできて、変更が必要な場合にポリシーを更新できることを確認します。Continue to exclude all administrators from the policy to ensure that they still have access and can update a policy if a change is required.
- 必要な場合にのみ、すべてのユーザーにポリシーを適用します。Apply a policy to all users only if necessary.
ベスト プラクティスとして、次のようなユーザー アカウントを作成します。As a best practice, create a user account that is:
- ポリシー管理専用であるDedicated to policy administration
- すべてのポリシーから除外されているExcluded from all your policies
ポリシーの移行Policy migration
次の理由から、Azure Portal で作成していないポリシーの移行を検討します。Consider migrating the policies you have not created in the Azure portal because:
- 以前は処理できなかったシナリオに対処できるようになった可能性があります。You can now address scenarios you could not handle before.
- ポリシーを統合することで、管理する必要のあるポリシーの数を減らすことができます。You can reduce the number of policies you have to manage by consolidating them.
- 一元的な場所ですべての条件付きアクセス ポリシーを管理することができます。You can manage all your Conditional Access policies in one central location.
- Azure クラシック ポータルは廃止されました。The Azure classic portal has been retired.
詳しくは、「Azure Portal でクラシック ポリシーを移行する」をご覧ください。For more information, see .
次のステップNext steps
次のことが知りたい場合:If you want to know:
- 条件付きアクセス ポリシーの構成方法については、Azure Active Directory の条件付きアクセスを使用した特定のアプリに対する MFA の要求に関する記事をご覧ください。How to configure a Conditional Access policy, see .
- 条件付きアクセス ポリシーの計画方法については、「方法: Azure Active Directory の条件付きアクセスの展開を計画する」をご覧ください。How to plan your Conditional Access policies, see .