ゼロトラスト実現の第一歩!Microsoft Entra IDの条件付きアクセスとは?

TOP » ブログ一覧 » Microsoft 365 » ゼロトラスト実現の第一歩!Microsoft Entra IDの条件付きアクセスとは?
条件付きアクセス アイキャッチ画像

近年、リモートワークの普及やクラウドサービスの利用拡大に伴い、社内外を問わずさまざまな場所から業務システムへアクセスする機会が増えています。

その一方で、IDやパスワードの漏えいによる不正アクセスなど、認証を狙ったサイバー攻撃も増加しています。

 

こうした脅威への対策として注目されているのが、Microsoft Entra IDの「条件付きアクセス(Conditional Access)」です。

ユーザーやデバイス、場所、時間などの状況をリアルタイムで評価し、アクセスの許可・制限を自動で判断します。

「すべてのアクセスを信頼しない」ことを前提としたゼロトラストセキュリティの実現を支える中核機能として、多くの企業で導入が進んでいます。

 

そこで今回は、条件付きアクセスの概要や仕組み、代表的なポリシーの設定例、基本的な設定手順、導入時の注意点まで分かりやすく解説します。

ゼロトラストセキュリティの実現に向けた第一歩として、ぜひ参考にしてください。

ICT × Optimization × Navigator = ION(イオン)

情シスが「1人で抱え込まない」環境を実現します

情シス支援サービスION

情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。

システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。

「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。

専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。

目次

1.条件付きアクセスとは?ゼロトラスト実現の要

「条件付きアクセス」とは、適切なユーザーが適切な条件下で、適切なリソースにアクセスできるように制御する仕組みです。

あらかじめ設定したルール(ポリシー)に基づき、アクセス要求をリアルタイムで評価し、アクセスの許可・拒否や、追加の認証要求などを自動で実行します。

 

アクセス元や利用状況に応じて柔軟な制御を行えるため、「何も信頼せず、すべてのアクセスを都度検証する」ゼロトラストセキュリティを実現するうえで欠かせない機能の1つです。

「Microsoft Entra条件付きアクセス」とは?

「Microsoft Entra条件付きアクセス」は、クラウドID・アクセス管理サービスであるMicrosoft Entra IDの機能の1つです。

「If-Then(もし~ならば、こうする)」という考え方でアクセス制御のルールを設定し、実際のアクセス要求に応じて自動でアクセス権の付与、多要素認証(MFA)の要求、ブロックなどを実行します。

 

例えば、次のようなルールが設定できます。

管理者が社内からMicrosoft 365へアクセスする場合はそのままアクセスを許可し、社外からアクセスする場合は多要素認証(MFA)を要求する

「誰が」「どの場所から」「どのデバイスで」「どのアプリケーションに」アクセスしようとしているか、といった様々な要素(シグナル)をもとにアクセス要求を評価し、最適なアクセス制御を実現します。

なぜ条件付きアクセスが重要なのか?

条件付きアクセスが重要視される理由は、セキュリティと利便性を両立できる点にあります。

 

従来のセキュリティ対策では、一律に厳しい制限をかけることが多く、ユーザーの利便性が損なわれるケースも少なくありませんでした。

一方、条件付きアクセスでは、リスクが低い状況ではスムーズなアクセスを許可し、リスクが高いと判断された場合にのみ追加の認証を要求するといった、状況に応じた柔軟な制御が可能です。

 

これにより、従業員の生産性を維持しながら、不正アクセスやアカウント侵害のリスクを効果的に低減し、セキュリティレベルを向上させることができます。

2.条件付きアクセスの仕組み

条件付きアクセスでは、アクセス要求を評価する際に「シグナル」「条件」「制御」という3つの要素を組み合わせて判断します。

要素 役割 具体例
シグナル ユーザーのアクセス状況を把握するための情報を収集
  • ユーザー
  • アクセス元(IPアドレス)
  • デバイス
  • アプリケーション
条件 どのような場合にアクセスポリシーを適用するか判断
  • サインインリスクが高い場合
  • 社外からのアクセスの場合
  • デバイスがIntune準拠済みではない場合
  • 特定のクライアントアプリからのアクセスの場合
制御 実際にアクセスポリシーを適用
  • アクセスの許可・ブロック
  • 多要素認証(MFA)の要求

「シグナル」:ユーザーのアクセス状況を把握

「シグナル」は、アクセス要求を評価するために収集する情報のことです。

具体的には、アクセスしたユーザーの情報、アクセス元(IPアドレス)、使用しているデバイス、アクセス先のアプリケーションなどがシグナルとして利用されます。

 

複数のシグナルを組み合わせることで、「誰が」「どこから」「どのような環境で」アクセスしているのかを正確に把握できます。

「条件」:アクセスポリシーを適用するか判断

「条件」は、収集したシグナルをもとに、どのような状況下でアクセス制御を行うかを定めるルールのことです。

例えば、「社外からアクセスした場合」や「サインインリスクが高い場合」、「デバイスがIntune準拠済みではない場合」といった条件を設定できます。

 

アクセス要求が設定した条件に一致すると、あらかじめ定義したアクセスポリシーが適用されます。

「制御」:実際にアクセスポリシーを適用

「制御」は、条件を満たした場合に実行されるアクションのことです。

アクセスを許可・拒否するだけでなく、多要素認証(MFA)の要求や、Intune準拠済みデバイスからのみアクセスを許可するといった制御も可能です。

 

アクセス状況に応じて必要なセキュリティ対策を自動で適用できるため、安全性と利便性を両立したアクセス管理を実現できます。

ICT × Optimization × Navigator = ION(イオン)

情シスが「1人で抱え込まない」環境を実現します

情シス支援サービスION

情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。

システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。

「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。

専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。

3.条件付きアクセスポリシーの基本構成

条件付きアクセスポリシーは、「割り当て(If)」「アクセス制御(Then)」という2つの設定項目で構成されています。

 

「割り当て(If)」で「誰(何)を対象にするか」を設定し、「アクセス制御(Then)」で「どのような制御を行うか」を設定することで、組織のセキュリティ要件に応じたアクセスポリシーを作成できます。

「割り当て」:ポリシーの適用対象を決める

「割り当て」では、作成したアクセスポリシーをどのユーザー、グループ、ロール、アプリケーションに適用するかを定義します。

例えば、「管理者のみ」や「営業部のユーザーのみ」といったように、適用範囲を細かく設定できます。

 

また、特定のユーザーやグループをポリシーの対象から除外することも可能です。

「アクセス制御」:どのような制御を行うか決める

「アクセス制御」では、「割り当て」で指定した対象が条件に一致した場合に、どのようなアクションを実行するかを定義します。

 

アクセス制御には、大きく分けて「許可」「セッション」の2種類があります。

許可

アクセスを許可/拒否する条件を設定します。

例:

  • 多要素認証(MFA)を完了したユーザーのみアクセスを許可する
  • Intune準拠済みデバイスからのアクセスのみ許可する
  • 条件を満たさない場合はアクセスをブロックする

セッション

アクセスを許可した後の利用方法を設定します。

例:

  • 一定時間ごとに再認証を求める
  • ブラウザを閉じてもサインイン状態を維持する
  • ファイルのダウンロードを制限する

「許可」「セッション」を組み合わせることで、アクセスの可否だけでなく、アクセス後の利用方法まで細かく制御できます。

4.条件付きアクセスポリシーのおすすめ設定例

条件付きアクセスでは様々なポリシーを設定できますが、最初は多くの企業で導入されている代表的なポリシーから設定するのがおすすめです。

 

ここでは、実際によく利用されている設定例を4つご紹介します。

  • 管理者アカウントは多要素認証(MFA)を必須にする
  • 信頼できない場所からのアクセスを制限する
  • 特定のアプリケーションのみアクセス制御を適用する
  • リスクの高いサインインに対してパスワード変更を要求する

管理者アカウントは多要素認証(MFA)を必須にする

管理者アカウントは、システム全体に影響を及ぼす非常に強力な権限を持っています。

そのため、万が一アカウントが乗っ取られると、設定変更やデータの窃取・改ざんなど、組織全体に深刻な被害が及ぶ可能性があります。

 

管理者権限を持つユーザーがサインインする際は、常に多要素認証(MFA)を必須にすることで、万が一ID・パスワードが漏えいした場合でも、不正アクセスのリスクを大幅に低減できます。

信頼できない場所からのアクセスを制限する

海外からの不正アクセス対策として、特定の国や地域からのアクセスをまとめて制限するポリシーもよく利用されています。

例えば、自社の事業と関係のない国・地域からのアクセスをブロックしたり、社内ネットワークや拠点のIPアドレスを「信頼できる場所」として登録できます。

 

信頼できる場所以外からのアクセスには、毎回多要素認証(MFA)を要求するなど、アクセス元に応じた柔軟な制御が可能です。

特定のアプリケーションのみアクセス制御を適用する

すべてのアプリケーションに同じセキュリティレベルを求める必要はありません。

例えば、人事システムや会計システムなど、機密情報を扱うアプリケーションに対してのみ、社内ネットワークからのアクセスに限定したり、多要素認証(MFA)を必須にするポリシーを設定できます。

 

業務内容や扱うデータの重要度に応じて、必要なアプリケーションだけセキュリティを強化できる点も、条件付きアクセスの大きな特徴です。

リスクの高いサインインに対してパスワード変更を要求する

条件付きアクセスは、「Microsoft Entra ID 保護」の機能と連携することで、サインインのリスクレベルに応じたアクセス制御も行えます。

 

「Microsoft Entra ID 保護」は、AIを活用してサインイン時の状況やユーザーの行動を分析し、アカウントの危険性を自動で検出する機能です。

例えば、匿名IPアドレスからのアクセスや、普段と異なる場所からのサインインなど、「リスクが高い」と判断された場合は、強制的にパスワードの変更を要求するポリシーを設定できます。

 

これにより、不正アクセスやアカウントの乗っ取り被害を未然に防ぎ、安全なパスワード管理の実現にもつながります。

ICT × Optimization × Navigator = ION(イオン)

情シスが「1人で抱え込まない」環境を実現します

情シス支援サービスION

情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。

システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。

「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。

専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。

5.条件付きアクセスの設定手順

ここでは、実際に条件付きアクセスポリシーを作成する基本的な手順をご紹介します。

 

今回は例として、「Microsoft 365にアクセスする際に、すべてのユーザーに対して多要素認証(MFA)を要求する」ポリシーを作成します。

  • 手順1:Microsoft Entra管理センターにアクセスする
  • 手順2:新しいポリシーを作成する
  • 手順3:割り当て(ユーザーとグループ)を設定する
  • 手順4:対象のアプリケーションを選択する
  • 手順5:条件を設定する
  • 手順6:アクセス制御を設定する
  • 手順7:ポリシーを有効化する

手順1:Microsoft Entra管理センターにアクセスする

まず、管理者権限を持つアカウントで「Microsoft Entra管理センター」にサインインします。

 

サインイン後、左側のメニューから「保護」>「条件付きアクセス」を選択すると、条件付きアクセスポリシーの管理画面が表示されます。

手順2:新しいポリシーを作成する

「ポリシー」の画面で、「+ 新しいポリシー」をクリックします。

 

作成するポリシーには、「M365へのMFA要求」など、後から見ても内容がすぐに分かる名前を付けておくと管理しやすくなります。

手順3:割り当て(ユーザーとグループ)を設定する

続いて、「割り当て」でポリシーを適用する対象を設定します。

今回は、「ユーザー」の項目で「すべてのユーザー」を選択します。

 

ただし、いきなり全社にポリシーを適用すると、想定外の影響が発生する可能性があります。

導入時は、まず特定のユーザーやグループを対象に動作を確認し、問題がないことを確認してから適用範囲を広げる方法がおすすめです。

 

また、管理者がログインできなくなる事態を防ぐため、緊急アクセス用アカウント(Break Glassアカウント)は必ず対象から除外しておきましょう。

  • 適用対象:すべてのユーザー(最初は特定のユーザー・グループでテストする)
  • 除外:緊急アクセス用アカウント

手順4:対象のアプリケーションを選択する

「ターゲット リソース」の項目で、ポリシーの適用対象となるアプリケーションを選択します。

「クラウド アプリ」を選択し、対象アプリケーションとして「Office 365」を指定します。

 

この設定により、ExchangeやSharePoint、Teamsなど、Microsoft 365に含まれるアプリケーションへのアクセスがポリシーの適用対象になります。

手順5:条件を設定する

今回は、すべてのユーザーを対象に多要素認証(MFA)を要求するため、条件は追加せず、デフォルト設定のまま進めます。

 

運用に合わせて、「場所」「デバイスプラットフォーム」「サインインリスク」などの条件を追加すれば、社外からのアクセス時のみMFAを要求するといった柔軟な設定も可能です。

手順6:アクセス制御を設定する

「アクセス制御」の「許可」項目を開き、「アクセス権の付与」を選択します。

続いて、「多要素認証を要求する」にチェックを入れ、設定を保存します。

 

この設定により、ユーザーがMicrosoft 365にサインインする際は、多要素認証(MFA)の実施が必須となります。

手順7:ポリシーを有効化する

最後に、ポリシーの状態を「レポート専用」または「オン」に設定します。

 

条件付きアクセスは、設定内容によってはユーザーが意図せずサインインできなくなる可能性もあります。

そのため、最初は「レポート専用」で影響範囲を確認し、問題がなければ「オン」に切り替えて本番環境に適用すると安心です。

 

その後、「作成」ボタンをクリックしてポリシーを保存すれば完了です。

6.条件付きアクセスを導入する際の注意点

条件付きアクセスは、不正アクセス対策に効果的な機能ですが、設定を誤ると正規のユーザーがサインインできなくなるなど、業務に大きな影響を及ぼす可能性があります。

 

導入にあたっては、次の点に注意するようにしましょう。

  • ライセンス要件を確認する
  • 緊急アクセス用アカウントを除外する
  • テスト用の「What If」機能で事前に動作を確認する

ライセンス要件を確認する

条件付きアクセスを利用するには、Microsoft Entra ID P1またはP2の有償ライセンスが必要です。

Microsoft 365 Business PremiumやMicrosoft 365 E3、Microsoft 365 E5などのプランには条件付きアクセスが含まれています。

 

導入前に、自社が契約しているライセンスで利用できるかどうかを確認しておきましょう。

緊急アクセス用アカウントを除外する

条件付きアクセスポリシーを誤って設定してしまい、管理者を含むすべてのユーザーがサインインできなくなる可能性もゼロではありません。

万が一に備え、緊急アクセス用アカウント(Break Glassアカウント)を最低1つは用意し、条件付きアクセスポリシーの対象から除外しておくことが重要です。

 

緊急アクセス用アカウントは、通常業務では使用せず、緊急時のみ利用できるよう適切に管理しましょう。

テスト用の「What If」機能で事前に動作を確認する

「What If」は、特定のユーザーが特定の条件下でサインインした場合に、どのポリシーが適用されるかをシミュレーションできるテスト機能です。

新しいポリシーを有効にする前に、このテスト機能を活用することで、本番環境に影響を与えることなく、想定通りのアクセス制御が行われるかを事前に確認できます。

 

なお、「条件付きアクセスの設定手順」でも触れたように、ポリシーを「レポート専用」モードで展開し、実際のサインイン時にどのような影響があるかを確認することも有効な手段です。

7.まとめ

いかがでしたでしょうか?

 

条件付きアクセスは、ユーザーやデバイス、アクセス元などの状況に応じてアクセスを制御し、ゼロトラストセキュリティを実現するための重要な機能です。

多要素認証(MFA)の要求や、信頼できない場所からのアクセス制限、リスクの高いサインインへの対策など、組織のセキュリティレベルを高めるさまざまなポリシーを柔軟に設定できます。

 

一方で、設定内容によっては意図しないアクセス制限が発生する可能性もあります。

安全な運用のためにも、ライセンス要件の確認や緊急アクセス用アカウントの準備、「レポート専用」モードや「What If」機能を活用した事前検証を行いながら、段階的に導入することが大切です。

 

まずは、管理者アカウントへの多要素認証(MFA)の必須化など、多くの企業で採用されている基本的なポリシーから導入を検討してみてはいかがでしょうか。

Microsoft Entra IDの導入・設定でお困りではありませんか?

当社コンピュータマネジメントでは、「情シス支援サービスIONイオンを通じて、Microsoft Entra IDや条件付きアクセスの導入・設定から運用までトータルでサポートしております。

 

お客様の環境や課題に応じて最適なセキュリティ対策をご提案し、安心して業務に集中できる環境づくりをお手伝いします。

  • 自社に最適なポリシーが分からない
  • 既存環境への影響を抑えながら安全に導入したい
  • Microsoft 365のセキュリティを強化したい

とお考えの方は、ぜひお気軽にご相談ください。

 

なお、Microsoft Entra IDを活用して多要素認証(MFA)を導入する際に役立つ資料もご用意しています。

MFAの設定方法や導入時のポイントをまとめていますので、ぜひご活用ください。

ICT × Optimization × Navigator = ION(イオン)

情シスが「1人で抱え込まない」環境を実現します

情シス支援サービスION

情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。

システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。

「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。

専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。

お電話・FAXでのお問い合わせはこちら

03-5828-7501

03-5830-2910

【受付時間】平日 9:00~18:00

フォームでのお問い合わせはこちら

この記事を書いた人

Y.M(マーケティング室)

2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。