Microsoft 365

条件付きアクセスを用いて Microsoft 365 へのアクセスを制御する

  • 2021.07.12

Microsoft 365 では、不正アクセスやセキュリティ対策が万全ではないデバイスからのアクセスを防ぐため「条件付きアクセス」が利用できます。

条件付きアクセスとは

Microsoft 365 にサインインする時に、ユーザーやデバイス、アクセスするクラウドサービスなどを条件として不要なアクセスをブロックする機能です。

条件付きアクセスは Azure AD Premium P1 ライセンスが必要です。Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Azure AD Premium P1 を追加契約することで利用できます。

条件付きアクセスの利用シナリオ

様々な条件を設定することでアクセスをブロックできます。

  • 社内ネットワーク以外からのアクセスをブロックする
  • ウイルス対策やスパム対策が行われていないデバイスからのアクセスをブロックする
  • スマートフォンにおいて Outlook アプリ以外からメールを利用することをブロックする
  • Exchange Online に対して IT 管理者が指定したアプリ以外のアクセスをブロックする
  • 多要素認証が有効ではないユーザーのアクセスをブロックする
  • レガシー認証のアプリを使ったアクセスをブロックする
    レガシー認証とは、POP3 や IMAP4、SMTPなどの認証プロトコルや Office 2013 以前の Office アプリで利用されている認証方式です。多要素認証が利用できない認証方式であり、外部からの攻撃を受けやすいため、利用はお勧めしません。レガシー認証で受けるセキュリティ侵害についてはこちらを参照ください。

また条件付きアクセスでは、例外的にブロックをさせない事も可能であり、ブロック設定に [対象外] の設定を加えることで実現できます。例えば、「社内ネットワーク以外からのアクセスをブロックする」設定に、[対象外 : iOS 、Android デバイス] を加えることで、iOS と Android デバイスは社外ネットワークからのアクセスであっても Microsoft 365 にアクセスが可能となります。

組織で緊急アクセス用管理者アカウント (Break Glass Account) を用意している場合、必ず [対象外] アカウントとして設定してください。条件付きアクセスの設定をミスしてしまいすべてのユーザーが Microsoft 365 にアクセスできなくなった場合や災害などの緊急時に Microsoft 365 にアクセスするためです。緊急アクセス用管理者アカウントの詳細は以前のブログ記事 [Micrsoft 365 に緊急アクセス用管理者アカウントを準備する] でご紹介しています。

まとめ

Microsoft 365 は様々なデバイスから Web ブラウザーやアプリから利用できます。セキュリティ面を考慮するとどのような条件でアクセスを許可、ブロックするのかのルールを決めておく必要があります。今回紹介した条件付きアクセス機能でユーザーのアクセスコントロールをすることで、セキュリティリスクを低減しましょう。

  ・組織で利用する iOS/iPadOS デバイスを Microsoft Intune で管理する
  ・組織で利用する Android デバイスを Microsoft Intune で管理する
  ・Microsoft Intune で iOS/iPadOS デバイスの機能を制御する
  ・Microsoft Intune で Android デバイスの機能を制御する
  ・Microsoft Intune から iOS/iPadOS にアプリを自動配布する
  ・Microsoft Intune : iOS/iPadOS アプリのデータを保護する
  ・Microsoft Intune から Android にアプリを自動配布する

関連コース

  • CI505-H Microsoft 365 運用管理
    Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。
  • CI509-H Microsoft 365 デバイス運用管理
    IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。iPhone を使用した実習を行い、モバイル デバイスの管理方法について実際の挙動を確認しながら、さまざまな機能を理解。
  • CI506-H Microsoft 365 運用管理 – 情報保護編
    Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
  • CI508-H Microsoft 365 PowerShell による管理効率化
    Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する