組織のネットワーク以外からの Microsoft 365 への接続をブロックする
Azure Actice Directory の条件付きアクセスを用いることで Microsoft 365 へのアクセスを制御する設定が行えます。今回は条件付きアクセスの設定方法や必要事項をまとめました。
利用シナリオを考える
最初に必要なことは、実現したいアクセス制限のシナリオを整理することです。条件付きアクセスは基本的にアクセスをブロックする事を目的とした機能なので、どのような条件でアクセスを禁止するかで考えると要件定義および設定が行いやすくなります。
この記事では、以下の条件で設定を例として設定方法を解説します。
- 組織ネットワーク以外からの Microsoft 365への接続をブロックする
- 対象ユーザーは全社員とし、Microsoft 365 のサービスすべてを対象とする
※ 緊急アクセス用管理者アカウントは対象外とする
条件付きアクセスの設定
条件付きアクセスの条件として [場所] を指定したい場合、設定前に場所情報を登録しておく必要があります。設定の流れは以下のとおりです。
① 場所情報の登録
② 条件付きアクセスの作成
① 場所情報の登録
場所情報としてグローバル IP アドレスを登録します。そ登録した場合情報を利用して条件付きアクセスの作成を行うためです。
- Azure Active Directory 管理センター (https://aad.portal.azure.com/) を開き、[エンタープライズ アプリケーション] – [条件付きアクセス] をクリックします。
- [ネームドロケーション] をクリックします。
- [IP 範囲の場所] をクリックします。
- 場所の名前を入力し、[+] をクリックします。
- アクセスを許可する組織のグローバル IP アドレスとサブネットマスクを入力し、[追加] をクリックします。
複数登録する必要がある場合は [+] をクリックして登録を行ってください。
※ グローバル IP アドレスを分けて管理したい場合は、別途、新しい場所を作成してください。 - [信頼できる場所としてマークする] にチェックを入れ、[作成] をクリックします。
- 場所が登録できたことを確認します。
② 条件付きアクセスの作成
- 条件付きアクセス画面で [ポリシー] – [新しいポリシー] をクリックします。
- 条件付きアクセスの名前を入力します。
- [ユーザーとグループ] 内のリンクをクリックし、以下の設定を行います。
対象 : すべてのユーザー
対象外 : [ユーザーとグループ] を選択し、ブロック対象外とする特殊アカウント (緊急アクセス用管理者アカウントなど) を登録する - [クラウド アプリまたは操作] 内のリンクをクリック、以下の設定を行います。
・ 適用対象 : すべてのクラウド アプリ
Azure AD に組み込まれている Microsoft クラウド アプリや Azure AD に手動で追加したクラウド アプリのことを指します (Office など、デバイスにインストールして利用するアプリのことではありません)。
・ 対象 : すべてのユーザー
・ 対象外 : [ユーザーとグループ] を選択し、緊急アクセス用管理者カウントを登録する - [条件] 内のリンクをクリックします。
- [場所] 内のリンクをクリックし、以下の設定を行います。・構成 : はい
・対象 : すべての場所
・対象外 : [選択された場所] を選択し、作成した場所を選択する - [許可] 内のリンクをクリックし、[アクセスのブロック] を選択し、[選択] をクリックします。
- [レポート専用] を選択し、[作成] をクリックします。
条件付きアクセスの設定を作成したとき初回は必ず [レポート専用] を選択してください。動作確認せずに [オン] で作成した場合、設定ミスで全ユーザーが Microsoft 365 にアクセスできなくなる可能性があります。
[レポート専用] を選択するとブロックは行われずに、Azure AD のサインインログにブロック結果が記載されます
条件付きアクセスの動作確認
Azure AD のサインインログで、今回設定した条件付きアクセスの挙動を下記手順で確認します。
- Azure Active Directory 管理センター (https://aad.portal.azure.com/) の [ユーザー] – [サインイン] をクリックします。
- 確認するログをクリックし、[レポート専用] をクリックします。
- ポリシー名をクリックすると、詳細が確認できます。
・ ブロックされなかったログ
このログは、条件付きアクセスの設定に該当しないアクセスのため、「適用されていません」 と表示されています (アクセス可能な状態です)。
・ ブロックされたログ [結果 : 失敗]
このログは、条件付きアクセスの設定に該当し、アクセスがブロックされたため、「(アクセス) 失敗」 と表示されています。
挙動に問題なければ、条件付きアクセスの [ポリシーの有効化] を [オン] に変更します。
正常にアクセスがブロックされると、ユーザーには下の画面が表示されます。
まとめ
条件付きアクセスは、場所 (グローバル IP アドレス) を使用したアクセス以外にも、Intune と組み合わせてコンプライアンス ポリシーに準拠していないデバイスをブロックしたり、多要素認証が有効なユーザーのみアクセスできるなど、組織のセキュリティ対策に合わせて柔軟に利用することができます。
関連記事として、以下もぜひご覧ください。
・条件付きアクセスを用いて Microsoft 365 へのアクセスを制御する
・組織で利用する iOS/iPadOS デバイスを Microsoft Intune で管理する
・組織で利用する Android デバイスを Microsoft Intune で管理する
・Microsoft Intune で iOS/iPadOS デバイスの機能を制御する
・Microsoft Intune で Android デバイスの機能を制御する
・Microsoft Intune から iOS/iPadOS にアプリを自動配布する
・Microsoft Intune : iOS/iPadOS アプリのデータを保護する
・Microsoft Intune から Android にアプリを自動配布する
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!