Azure AD 条件付きアクセスの活用について
Azure AD
前回Azure ADの機能やプランについて書きましたが、Azure ADってMicrosoft 365を使うから必要ってことじゃなく、認証基盤として優秀なので連携できるアプリケーションは連携して使った方がいいってことです。
Micorosft Azure 使うから管理者だけ管理しておけばいいや、ではなくちゃんと権限ロール管理をして管理者自体を管理したりアクセス制御したりIAMでAzureリソースへの権限管理したりと必要になってきますので是非管理手法を学んでいただけるとよりよいクラウドライフが送れると思うんですよね。
というわけで、今回は条件付きアクセスです。
Azureポータルへのアクセスなんかも制御できます。
Azure AD 条件付きアクセス
Azure AD Premium P1 / P2 で利用できる機能で、ユーザーが対象のアプリケーション認証時にアクセス許可/ブロックに対する条件をつけることが可能です。
例えば、以下のようなことができます。
- 総務部のアカウント(かつ部長は除外)がExchange Online にアクセス
- Windowsのみアクセス可能
- 社内ネットワークからのみアクセス可能
- 多要素認証を強制
- Intune で管理されている準拠済みデバイス
- Hybrid Azure AD Join を使用したデバイス
- アプリの条件付きアクセス制御で重要データが入っている場合拒否
以前、Azure Virtual Desktop で利用する場合の条件付きアクセスも書いているので参考にしてみてください。
条件付きアクセスポリシー
設定できる項目は色々あります。
2022/03/03 時点では以下項目が設定可能です。
上記の条件に対して以下の制御を行うことができます。
- アクセスのブロック
- アクセス権の付与
アクセス権の付与については「すべて」もしくは「いずれか」で指定が可能です。
これを組み合わせていくことでアプリケーションへのアクセスをセキュアなものにしていきます。
実装例
前提条件として以下があるとします。
- 社内ユーザーで管理者ロールは対象外
- Office 365アプリケーション
- Intune 管理デバイス
- 場所はどこでも
- 多要素認証は必須
- デバイス種別はWindowsとiOSにしぼる
- レガシ認証は除外したい
社内ユーザーに絞る理由としてはゲスト参加しているユーザーやコラボレーションした先の外部ユーザーはアクセスさせたくないとかな要件ですね。
Intune管理デバイスに絞る理由は社給のデバイスだったりBYODでも会社として管理・許可しているデバイスを使わせるという理由になります。
場所については最近流行りのゼロトラストですね、どこからでも許可したい場合に色々と縛りをつけることでセキュリティを担保するという考え方です。
正直今回条件付きアクセスの観点で書いていますが、ゼロトラストをやる場合はMicrosoft Defender for Endpoint の導入までやった方がいいです。
Intune のデバイス管理と連携してインシデント管理やデバイス管理が可能になります。
実際の設定画面は以下となります。
認証について
条件付きアクセスを利用する場合、よく言われるのが「条件付きアクセスっていつかかるんですか?」です。
条件付きアクセスはユーザー認証時にかかるものです。
上記の例で言うと、Office 365 アプリに対象のユーザーがアクセス・認証した時に条件に合致したものをアプリへのアクセスを許可またはブロックするといった仕組みになります。
簡単に図で書くと以下のような流れになります。
補足情報ですが、シャドーIT対策で会社のテナントにはアクセスさせるけど、個人所有テナントにはアクセスさせないとかいう場合はProxy製品で対応する形となります。
まとめ
条件付きアクセスを使ったクラウドアプリケーションへのアクセス制御の一例ですが、複数ポリシーを使ってルールを作っていく形となります。
一つで作ろうとしても無理が出てきますので、アプリケーション単位だったりユーザー単位だったりで工夫して作る必要があるので試行錯誤が必要かなと思います。
次回はIdentity Protectionかグループ管理辺りでもまとめたいと思います。