さらなる管理ポータルのアクセス制御

通常の管理ポータルのアクセス制御

Microsoft 365 では、Microsoft 365 管理センターや、Microsoft Defernder ポータル、Microsoft 365 コンプライアンス ポータルなど、機能に応じたいくつかのポータルが用意されています。基本的には、これらポータルへのアクセスは、Entra で管理する組み込みのロールでアクセス制御することが一般的です。

管理ポータルごとのアクセス制御の必要性

ただ、 Defener Suite を導入して、先にセキュリティ部門で Defender ポータルを利用していると、グローバル閲覧者、セキュリティ管理者、セキュリティ閲覧者などの Entra 組み込みのロールを割り当てて権限管理することが多く、後から Purview Suite を導入すると、これらサイバー セキュリティ側の既存メンバーが、権限上 Purview ポータルにもアクセスできてしまい、データ セキュリティ関連のポリシーや、検知されたログが見えてしまって困るのではないかという懸念が出ることがあります。

実際には、Purview ポータルにアクセスできても、全データがそのまま見えるということはなく、Purview ポータル側で持っている専用の役割グループやロールの割り当てが合わせてなされていないと詳細は見ることができなくなっています。特にコミュニケーション コンプライアンスや、インサイダー リスク管理では、テナントの全体管理者であっても適切な役割グループの割り当てがないと、ポリシーの中身や検知された内容は表示できず、DLP のアクティビティ エクスプローラにおいても、"コンテンツ エクスプローラー コンテンツ ビューアー" の役割グループに入っていないと、検知されたファイルのプレビューや、検知された機密情報の実際の値なども表示されません。

ただ、そうはいっても、これら既存権限で何が見えるかといった整理や棚卸が面倒なので、Purview ポータルへのアクセスを既存権限に関係なく、特定のユーザーに限定できないかといったニーズが出てくることになります。

Entra の条件付きアクセス制御

こういった Microsoft 365 の各サービスへのアクセスを制限するとなると、真っ先に Entra の条件付きアクセス制御を利用すればよいのではないか？という発想になるかと思います。実際に、Entra の条件付きアクセス制御で管理ポータルへのアクセス制御はサポートされています。

対応する Microsoft 管理ポータル

• Azure portal
• Exchange 管理センター
• Microsoft 365 管理センター
• Microsoft 365 Defender ポータル
• Microsoft Entra 管理センター
• Microsoft Intune 管理センター
• Microsoft Purview コンプライアンス ポータル
• Microsoft Teams 管理センター

条件付きアクセス制御のターゲット リソースの選択画面

ただし、ここで問題となるのは、Entra の条件付きアクセス制御だけでは、これら管理ポータルをまとめて一つのターゲットとしてしか扱えず、共通のアクセス制御をかけることしかできないことです。先の課題を解決するためには、Defender ポータルと、Purview ポータルとで、別々の制御がかけられないといけません。

Entra 条件付きアクセス制御 ＋ Defender for Cloud Apps のアクセス ポリシー

そこで本記事のメイン トピックとなるのが、Entra 条件付きアクセス制御と、Defender for Cloud Apps のアクセス ポリシーの組み合わせです。Defender for Cloud Apps は、Defender Suite (E5 Security) および Purview Suite (E5 Compliance) 双方に含まれているので、Entra P1 を含む Microsoft 365 E3 に加えて、これらライセンスのいずれかがあれば、この制御が利用可能となります。Defender for Cloud Apps では、アクセス ポリシーの他に、セッション ポリシーを使うことで、リバース プロキシ型のフロント エンドとして Web アクセスを仲介して通信の中身をチェックし、アップロード・ダウンロード時のファイルの制御などが可能です。ここでは、セッション ポリシーまでは使わず、その前段階のアクセス ポリシーを使って、認証時にだけ Defenfer for Cloud Apps を仲介させて、より細かな接続可否の制御を行います。

手順としてはおおよそ以下となります。

Entra 側の準備

1. Entra の条件付きアクセス制御の「ユーザーまたはエージェント (プレビュー)」で、Purview ポータルにアクセスしうるユーザーで制御対象としたいユーザーを Entra の "ディレクトリ ロール" やグループで指定します
2. 「ターゲット リソースとして」"Microsoft Admin Portals" を指定します
3. セッションの部分で、"アプリの条件付きアクセス制御を使う" にチェックを入れて、"カスタム ポリシー" を使用するを選択しておきます
   
4. 「ポリシーの有効化」で "オン" を選択しポリシーを作成します
5. 管理ポータルに実際にアクセスしてみます

Entra の条件付きアクセス制御を設定しただけでは、Defender for Cloud Apps 側は、どういったアプリへの接続がありうるのか認識できておらず、ポータルを区別したポリシー設定はまだできません。先の条件付きアクセス制御が反映された後、実際の対象ユーザーによるアクセスがあって初めて、Defender for Cloud Apps 側で制御対象となるアプリが認識されます。そのため、設定後、他の管理者が一通り管理ポータルにアクセスするまで時間を空けるか、実際に管理者ユーザーで複数のポータルにアクセスします。認証過程の中で、login.microsoftonline.com に続いて、以下のような URL への遷移が一瞬ですが発生し、このタイミングで、 Defender for Cloud Apps に接続しようとしているアプリが認識されます。またこの後、アクセス ポリシーを設定した場合には、このタイミングで、接続がブロックされることになります。

Defender for Cloud Apps 側での確認

1. Defender ポータルにアクセスし、「システム」の「設定」、「クラウド アプリ」、「条件付きアクセス制御アプリ」を順にクリックします
2. この画面で Defender for Cloud Apps にて認識された、アクセス ポリシーおよびセッション ポリシーの制御対象となりうるアプリが一覧表示されています
   

ここで、制御したいアプリ、今回のケースでは、「Microsoft Purview - 全般] が表示されていることを確認します。制御したいアプリが表示されていない場合、条件付きアクセス制御が適切に設定されていないか、まだ該当のアプリへの認証が行われていない可能性があります。設定に問題がなく、なお該当のアプリが表示されていない場合、明示的にサイン アウトした上で、アクセスしてみると良いでしょう。

Defender for Cloud Apps 側での設定

1. 続いて「ユーザーのグループ」をクリックして、「ユーザー グループのインポート」から "Office 365 (Microsoft Entra ID)" および、インポートするグループ選択し、ポリシーで対象指定や除外などのルールで、利用したいグループをインポートしておきます
   (前提として「接続されているアプリ」の「アプリ コネクタ」にて、 "Microsoft 365" に接続しておく必要があります)
   この手順では、アクセスを許可するグループとして "Purview Access Group" という名称のグループを想定しています
   

Defender for Cloud Apps では、直接グループのメンバーを参照することができないため、この手順の設定で、事前にグループのメンバーを同期して取り込んでおく必要があります。また、Entra 側でグループを作成しても、すぐには Defender for Cloud Apps でグループが見えてこないので、新規作成したグループの場合には、作成後、数時間空けて、Defender for Cloud Apps でインポートを行うようにします。またインポートが完了しないと、ポリシーで利用できないため、インポートが完了するのを待ちます。

ここまでの準備ができたら、アクセス ポリシーを作成します。

アクセス ポリシーの作成

1. Defender ポータルから「クラウド アプリ」のメニューにある「ポリシー」から「ポリシー管理」をクリックします
2. 「ポリシーの作成」から「アクセス ポリシー」を選択します
   
3. ポリシーに名前を付け、デバイスの条件などは削除して、「アプリ」が "Microsoft Purview" で、"ユーザー" の "グループから"、"が次に等しくない"で、先ほどインポートした "Purview Access Group" を指定します
4. アクションは、"ブロック" で、カスタムのメッセージも適宜設定します
   

このケースでは、Purview ポータルにアクセスした際、"Purview Access Group" のメンバーではないと、権限に関係なくアクセスがブロックされる動作になります。

動作確認

1. Entra の条件付きアクセス制御で対象としたユーザー・グループのメンバーで、"Purview Access Group" のメンバーではないユーザー アカウントで、Purview Portal にアクセス行い、以下のような画面でアクセスがブロックされることを確認します
   
2. Defender ポータルの「クラウド アプリ」の「アクティビティ ログ」を見るとアクセスがブロックされたログが確認可能です
   

まとめ

通常の条件付きアクセス制御に、Defender for Cloud Apps のアクセス ポリシーを加えることで、通常の条件付きアクセス制御だけでは実現できない各ポータルを区別した上での接続制御ができることを示しました。Defender for Cloud Apps では、さらに有効なデバイス証明書の有無や、接続元 IP アドレスによる接続制御も可能ですし、アクセス ポリシーに加えて、セッション ポリシーも組みわせることで、各管理ポータルからのファイルのダウンロードを記録したり、ブロックしたりすることも可能なので、管理ポータルごとの高度なアクセス制御が求められた際、本機能を活用いただければと思います。ただし、管理者自身が Entra ポータルへのアクセスから締め出されてしまわないよう注意しましょう。