Azure AD 条件付きアクセスの活用について

Azure AD

前回Azure ADの機能やプランについて書きましたが、Azure ADってMicrosoft 365を使うから必要ってことじゃなく、認証基盤として優秀なので連携できるアプリケーションは連携して使った方がいいってことです。
Micorosft Azure 使うから管理者だけ管理しておけばいいや、ではなくちゃんと権限ロール管理をして管理者自体を管理したりアクセス制御したりIAMでAzureリソースへの権限管理したりと必要になってきますので是非管理手法を学んでいただけるとよりよいクラウドライフが送れると思うんですよね。
というわけで、今回は条件付きアクセスです。
Azureポータルへのアクセスなんかも制御できます。

Azure AD 条件付きアクセス

Azure AD Premium P1 / P2 で利用できる機能で、ユーザーが対象のアプリケーション認証時にアクセス許可/ブロックに対する条件をつけることが可能です。
例えば、以下のようなことができます。

  • 総務部のアカウント(かつ部長は除外)がExchange Online にアクセス
  • Windowsのみアクセス可能
  • 社内ネットワークからのみアクセス可能
  • 多要素認証を強制
  • Intune で管理されている準拠済みデバイス
  • Hybrid Azure AD Join を使用したデバイス
  • アプリの条件付きアクセス制御で重要データが入っている場合拒否

以前、Azure Virtual Desktop で利用する場合の条件付きアクセスも書いているので参考にしてみてください。

tsukatoh.hatenablog.com

条件付きアクセスポリシー

設定できる項目は色々あります。
2022/03/03 時点では以下項目が設定可能です。

  • ユーザー
    • ユーザー
    • ユーザーグループ
    • 権限ロール
  • クラウドアプリ
  • 条件
    • ユーザーのリスク
      • 高 / 中 / 低
    • サインインのリスク
      • 高 / 中 / 低 / リスクなし
    • バイスプラットフォーム
    • 場所
      • MFA 信頼済みIP / 設定済みの場所
    • クライアントアプリ
      • 先進認証クライアント / レガシ認証クライアント
    • バイスのフィルター
      • フィルター処理が書けます(動的グループと同様のフィルター)

上記の条件に対して以下の制御を行うことができます。

  • アクセスのブロック
  • アクセス権の付与
    • 多要素認証を要求する
    • Intune の準拠デバイス
    • Hybrid AAD Join デバイス
    • 承認されたクライアントアプリ
    • アプリの保護ポリシー必須
    • パスワードの変更を必須

アクセス権の付与については「すべて」もしくは「いずれか」で指定が可能です。

これを組み合わせていくことでアプリケーションへのアクセスをセキュアなものにしていきます。

実装例

前提条件として以下があるとします。

  • 社内ユーザーで管理者ロールは対象外
  • Office 365アプリケーション
  • Intune 管理デバイス
  • 場所はどこでも
  • 多要素認証は必須
  • バイス種別はWindowsiOSにしぼる
  • レガシ認証は除外したい

社内ユーザーに絞る理由としてはゲスト参加しているユーザーやコラボレーションした先の外部ユーザーはアクセスさせたくないとかな要件ですね。
Intune管理デバイスに絞る理由は社給のデバイスだったりBYODでも会社として管理・許可しているデバイスを使わせるという理由になります。
場所については最近流行りのゼロトラストですね、どこからでも許可したい場合に色々と縛りをつけることでセキュリティを担保するという考え方です。
正直今回条件付きアクセスの観点で書いていますが、ゼロトラストをやる場合はMicrosoft Defender for Endpoint の導入までやった方がいいです。
Intune のデバイス管理と連携してインシデント管理やデバイス管理が可能になります。

実際の設定画面は以下となります。

f:id:tsukatoh:20220302163935p:plain f:id:tsukatoh:20220302163952p:plain f:id:tsukatoh:20220302164008p:plain f:id:tsukatoh:20220302164024p:plain f:id:tsukatoh:20220302164110p:plain f:id:tsukatoh:20220302164127p:plain f:id:tsukatoh:20220302164142p:plain

認証について

条件付きアクセスを利用する場合、よく言われるのが「条件付きアクセスっていつかかるんですか?」です。
条件付きアクセスはユーザー認証時にかかるものです。
上記の例で言うと、Office 365 アプリに対象のユーザーがアクセス・認証した時に条件に合致したものをアプリへのアクセスを許可またはブロックするといった仕組みになります。
簡単に図で書くと以下のような流れになります。

f:id:tsukatoh:20220302170909p:plain

補足情報ですが、シャドーIT対策で会社のテナントにはアクセスさせるけど、個人所有テナントにはアクセスさせないとかいう場合はProxy製品で対応する形となります。

docs.microsoft.com

まとめ

条件付きアクセスを使ったクラウドアプリケーションへのアクセス制御の一例ですが、複数ポリシーを使ってルールを作っていく形となります。
一つで作ろうとしても無理が出てきますので、アプリケーション単位だったりユーザー単位だったりで工夫して作る必要があるので試行錯誤が必要かなと思います。

次回はIdentity Protectionかグループ管理辺りでもまとめたいと思います。