条件付きアクセスとは
条件付きアクセスは、Microsoft Entra ID(旧Azure AD)の機能で、「誰が」「どこから」「どのデバイスで」「何にアクセスするか」に応じて、アクセスの許可・拒否・追加認証を制御する仕組みです。
ゼロトラストセキュリティの中核となる技術です。
中小企業が設定すべき5つのポリシー
1. 管理者アカウントには常にMFAを要求
グローバル管理者、Exchange管理者などの特権アカウントに対して、場所やデバイスに関係なく常にMFAを要求します。
2. 社外からのアクセスにMFAを要求
社内ネットワーク(信頼済みIPアドレス)からのアクセスはMFAをスキップし、社外からのアクセスにはMFAを要求する設定です。
3. 未管理デバイスからのアクセスを制限
Intuneに登録されていないデバイスからのアクセスを「ブラウザのみ・ダウンロード不可」に制限します。
4. レガシ認証をブロック
IMAP、POP3、SMTPなどのレガシ認証プロトコルをブロックします。レガシ認証はMFAをバイパスするため、セキュリティリスクです。
5. リスクベースのアクセス制御
不審なサインイン(普段と異なる場所・時間帯からのアクセス等)を検知した場合に、追加の認証を要求します。
設計時の注意点
除外グループを必ず用意する
ポリシー設定のミスで全員がロックアウトされるリスクを防ぐため、1〜2名の「緊急アクセスアカウント」をポリシーの適用から除外します。
テストモードで検証してから本番適用
条件付きアクセスには「レポート専用モード」があります。まずこのモードで影響範囲を確認してから、本番に切り替えましょう。
まとめ
条件付きアクセスは、M365 Business Premiumに含まれているため、追加費用なしで利用できます。上記5つのポリシーを設定するだけで、セキュリティレベルが大幅に向上します。
この記事は情シス365ブログからの転載です。
情シス365(情シスアウトソーシング)
https://www.josis365.com
AI365(AI実装・自動化支援)
https://www.aidev-365.com
BTNコンサルティング(会社HP)
https://www.btncon.com