条件付きアクセスを用いて Microsoft 365 へのアクセスを制御する

Microsoft 365 では、不正アクセスやセキュリティ対策が万全ではないデバイスからのアクセスを防ぐため「条件付きアクセス」が利用できます。

条件付きアクセスとは

Microsoft 365 にサインインする時に、ユーザーやデバイス、アクセスするクラウドサービスなどを条件として不要なアクセスをブロックする機能です。

条件付きアクセスは Azure AD Premium P1 ライセンスが必要です。Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Azure AD Premium P1 を追加契約することで利用できます。

条件付きアクセスの利用シナリオ

様々な条件を設定することでアクセスをブロックできます。

• 社内ネットワーク以外からのアクセスをブロックする
• ウイルス対策やスパム対策が行われていないデバイスからのアクセスをブロックする
• スマートフォンにおいて Outlook アプリ以外からメールを利用することをブロックする
• Exchange Online に対して IT 管理者が指定したアプリ以外のアクセスをブロックする
• 多要素認証が有効ではないユーザーのアクセスをブロックする
• レガシー認証のアプリを使ったアクセスをブロックする
  レガシー認証とは、POP3 や IMAP4、SMTPなどの認証プロトコルや Office 2013 以前の Office アプリで利用されている認証方式です。多要素認証が利用できない認証方式であり、外部からの攻撃を受けやすいため、利用はお勧めしません。レガシー認証で受けるセキュリティ侵害についてはこちらを参照ください。

また条件付きアクセスでは、例外的にブロックをさせない事も可能であり、ブロック設定に [対象外] の設定を加えることで実現できます。例えば、「社内ネットワーク以外からのアクセスをブロックする」設定に、[対象外 : iOS 、Android デバイス] を加えることで、iOS と Android デバイスは社外ネットワークからのアクセスであっても Microsoft 365 にアクセスが可能となります。

組織で緊急アクセス用管理者アカウント (Break Glass Account) を用意している場合、必ず [対象外] アカウントとして設定してください。条件付きアクセスの設定をミスしてしまいすべてのユーザーが Microsoft 365 にアクセスできなくなった場合や災害などの緊急時に Microsoft 365 にアクセスするためです。緊急アクセス用管理者アカウントの詳細は以前のブログ記事 [Micrsoft 365 に緊急アクセス用管理者アカウントを準備する] でご紹介しています。

まとめ

Microsoft 365 は様々なデバイスから Web ブラウザーやアプリから利用できます。セキュリティ面を考慮するとどのような条件でアクセスを許可、ブロックするのかのルールを決めておく必要があります。今回紹介した条件付きアクセス機能でユーザーのアクセスコントロールをすることで、セキュリティリスクを低減しましょう。

  ・組織で利用する iOS/iPadOS デバイスを Microsoft Intune で管理する
  ・組織で利用する Android デバイスを Microsoft Intune で管理する
  ・Microsoft Intune で iOS/iPadOS デバイスの機能を制御する
  ・Microsoft Intune で Android デバイスの機能を制御する
  ・Microsoft Intune から iOS/iPadOS にアプリを自動配布する
  ・Microsoft Intune : iOS/iPadOS アプリのデータを保護する
  ・Microsoft Intune から Android にアプリを自動配布する