社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。
トップ > Microsoft365 > 【Microsoft365参考書】Entra IDの条件付きアクセスとは?

【Microsoft365参考書】Entra IDの条件付きアクセスとは?

Microsoft365

Entra IDの条件付きアクセスとは?

 

 

クラウドサービスの普及により、企業の情報資産は社内ネットワークの外でも利用されるようになりました。社員は自宅やカフェ、出張先からも業務システムにアクセスし、テレワークは当たり前の時代です。


しかし、利便性が高まる一方で、セキュリティリスクも増大しています。特に「不正ログイン」「情報漏えい」といったインシデントは企業にとって大きな脅威です。

そこで注目されているのが Microsoft Entra ID(旧Azure AD)の条件付きアクセス です。

条件付きアクセスは、ゼロトラストセキュリティの考え方を実現するための強力な仕組みで、ユーザーの状況に応じてアクセスを柔軟にコントロールできます。

 

 

 

条件付きアクセスの基本的な仕組み

条件付きアクセスは、シンプルに言うと 「もし○○なら、△△する」 というルールを設定できる仕組みです。

 

条件(IF)

  • ユーザーやグループ(例:経理部のメンバー)
  • バイスの状態(Intuneで管理されている端末かどうか)
  • 場所(社内ネットワーク、海外IPなど)
  • アプリケーション(Teams、SharePointなど)
  • サインインリスク(不審な場所からのログインなど)

 

アクセス制御(THEN)

  • アクセスを許可
  • アクセスをブロック
  • 多要素認証(MFA)を要求
  • バイスが準拠していなければブロック

つまり、特定の条件に合致したときだけ、アクセスを許可したり、追加認証を求めたりできます。

 

条件付きアクセスでできる主なこと

 

多要素認証(MFA)の強制

  • 重要なアプリにアクセスするときだけMFAを求める
  • 通常の社内ネットワークからはパスワードだけでOK、外出先ではMFA必須
  • リスクの高いサインイン時(新しいデバイス、海外IPなど)のみMFAを要求

 

場所やデバイスに応じたアクセス制御

  • 海外からのアクセスをブロック
  • Intuneで管理されていない私物端末からのアクセスを制限
  • VPN経由のアクセスのみ許可

 

特定アプリやリソースへのアクセス制御

  • 社外からはSharePointやOneDriveの編集をブロックし、閲覧のみ許可
  • 高機密システムは特定の部署からのみアクセス可能にする

 

ユーザーリスクに応じた制御

  • Microsoft Entra IDのリスク検知機能と連動し、リスクの高いユーザーをブロック
  • アカウント乗っ取りが疑われる場合はMFAを強制

 

セッション制御

  • ダウンロードやコピーを制御(Microsoft Defender for Cloud Appsとの連携)
  • セッションタイムアウトを短く設定し、長時間放置を防ぐ

 

 

 

実際の活用シナリオ

 

テレワーク時のセキュリティ強化

社外からのアクセスは必ずMFAを求めることで、パスワード漏えいによる不正ログインを防ぐ。

 

BYOD(私物端末)対策

管理されていない端末からは重要データのダウンロードを禁止し、閲覧のみ可能にする。

 

海外出張時の安全なアクセス

特定の国からのアクセスだけ許可し、それ以外の国はブロックすることで不審な海外アクセスを遮断。

 

導入時の注意点

 

誤設定による業務停止リスク

ポリシーを厳しくしすぎると、全社員がログインできなくなる可能性があります。テスト用アカウントを必ず作成しましょう。

 

緊急アクセスアカウントの用意

万一ポリシーで自分自身もロックアウトしてしまったときのために、条件付きアクセスの影響を受けないアカウントを準備しておくと安心です。

 

段階的な適用が重要

いきなり全社展開せず、一部ユーザーやグループから試験運用して徐々に広げていくのがベストです。

 

 

 

Azure RMSと条件付きアクセスの連携とは?

Azure RMS(Rights Management Services) は、ファイルやメールなどの情報を暗号化し、使用制限をかける情報保護技術です。

一方、条件付きアクセス(Conditional Access) は、ユーザーのアクセス状況(場所、デバイス、リスクなど)に応じて、アクセスの可否や認証強度を制御する仕組みです。

この2つを連携させることで、「特定の条件を満たすユーザーのみが暗号化された情報にアクセスできる」という高度なセキュリティ制御が可能になります。

 

連携の具体的な設定方法

 

1.Azure RMSのラベル設定(Microsoft Purview)

Microsoft Purview Information Protectionで「秘密度ラベル」を作成します。

ラベルに「Azure RMSによる暗号化」を設定します。

例:「社外閲覧不可」「転送禁止」「印刷不可」など

 

2.条件付きアクセスポリシーの作成(Entra ID)

Entra管理センターにアクセスし、「条件付きアクセス」から新しいポリシーを作成
以下のような条件を設定することが可能です。

  • 条件は、ユーザーが社外ネットワークからアクセスとし、制御をMFAを要求する
  • 条件は、管理されていないデバイスからアクセスとし、制御をアクセスをブロックする
  • 条件は、高リスクユーザーとし、制御をRMS保護された情報へのアクセスを拒否する

 

3.ポリシーの適用対象に「RMSラベル付きリソース」を指定

条件付きアクセスの「クラウドアプリ」や「リソース」に、RMSラベルが適用されたSharePoint、Exchange、Teamsなどを指定します。

これにより、RMSで保護された情報へのアクセスが条件付きアクセスによって制御されます。

 

連携のメリット

  • 情報漏洩防止:社外に持ち出されたファイルでも、認証されていないユーザーは開けない
  • コンプライアンス対応:法的要件に応じたアクセス制御が可能
  • ゼロトラストの実現:アクセス元やユーザーの状態に応じた柔軟な制御

 

 

it-bibouroku.hateblo.jp

 

it-bibouroku.hateblo.jp