はじめに

今回は、以下の全5回のうち4回目になります。

前回はMFAの設定をEveryoneに対して有効化しました。
しかし、例えば「オフィス内でもセキュリティレベルの高い区画で業務していてMFA用のスマホを持ち込めない」といった場合、ログインできなくなる可能性があります。

そのような場合に、MFAを求めないパターンを残しておく必要があります。

グループを作成

各ポリシーはグループに対して設定するため、MFAを求めないユーザー用のグループを作成します。

自社用デフォルトポリシーとは別にMFAを求めない用のポリシーを作成します。

Assign to groups で先ほど作成したグループを指定します。

今回は例であげた「オフィス内でもセキュリティレベルの高い区画で業務していてMFA用のスマホを持ち込めない」を想定し、拠点内からのみMFAを求めないようにします。

User’s IP is で In zone を選択し、Zone として myCompany（自社拠点のグローバルIPを定義したNetwork Zome）を指定します。

もちろん Multifactor authentication (MFA) is は Not required にしてください。

Saveすると、既存のポリシーの下かつDefault Policyの上に追加されます。

ポリシーは若番（上）から順に評価されていきます。
自社用デフォルトポリシーが上にあるとMFA対象外のポリシーには一生マッチしません。
（自社用デフォルトポリシーが Any かつ Everyone でマッチするため）

そのため、MFA対象外のポリシーを自社用デフォルトポリシーの上に変更します。
数字横の点々をドラッグ&ドロップで変更可能です。

デフォルトのポリシーにルールを追加します。

User's group membership includes で At least one of the following group を選択し、先ほど作成したグループを指定します。

User’s IP is では In any of the following zones を選択し、myCompany を指定します。

User must authenticate with は Password を指定してください。

Global Session Policy と同様に Authentication Policy のルールも上から順に評価されます。

追加した時点では自社拠点IPを許可のルールよりMFA対象外のルールの方が下になっているので、順序を変更してください。

こんな感じになります。

これで MFA対象外のグループにアサインされているメンバーはサインイン時にMFAを求められなくなりました。

今回はここまで。ありがとうございました。
次回はサインイン時にリスク判定を追加することでセキュリティを高めたいと思います。