はじめに
今回は、以下の全5回のうち4回目になります。
- サインインを自社拠点IPからのみに制限する
- サインイン時にMFAを求める
- サインイン時にMFAを求めないパターンを残す
- サインイン時にリスク判定を追加する
- 特定のアプリのみ自社拠点外からのサインインを許可する
前回はMFAの設定をEveryoneに対して有効化しました。
しかし、例えば「オフィス内でもセキュリティレベルの高い区画で業務していてMFA用のスマホを持ち込めない」といった場合、ログインできなくなる可能性があります。
そのような場合に、MFAを求めないパターンを残しておく必要があります。
グループを作成
各ポリシーはグループに対して設定するため、MFAを求めないユーザー用のグループを作成します。
Global Session Policy の設定
自社用デフォルトポリシーとは別にMFAを求めない用のポリシーを作成します。
ポリシー作成
Assign to groups で先ほど作成したグループを指定します。
ルールを作成
今回は例であげた「オフィス内でもセキュリティレベルの高い区画で業務していてMFA用のスマホを持ち込めない」を想定し、拠点内からのみMFAを求めないようにします。
User’s IP is で In zone を選択し、Zone として myCompany(自社拠点のグローバルIPを定義したNetwork Zome)を指定します。
もちろん Multifactor authentication (MFA) is は Not required にしてください。
Saveすると、既存のポリシーの下かつDefault Policyの上に追加されます。
ポリシーの優先順位変更
ポリシーは若番(上)から順に評価されていきます。
自社用デフォルトポリシーが上にあるとMFA対象外のポリシーには一生マッチしません。
(自社用デフォルトポリシーが Any かつ Everyone でマッチするため)
そのため、MFA対象外のポリシーを自社用デフォルトポリシーの上に変更します。
数字横の点々をドラッグ&ドロップで変更可能です。
Authentication Policy の設定
デフォルトのポリシーにルールを追加します。
ルールの追加
User's group membership includes で At least one of the following group を選択し、先ほど作成したグループを指定します。
User’s IP is では In any of the following zones を選択し、myCompany を指定します。
User must authenticate with は Password を指定してください。
ルールの順序変更
Global Session Policy と同様に Authentication Policy のルールも上から順に評価されます。
追加した時点では自社拠点IPを許可のルールよりMFA対象外のルールの方が下になっているので、順序を変更してください。
こんな感じになります。
これで MFA対象外のグループにアサインされているメンバーはサインイン時にMFAを求められなくなりました。
おわりに
今回はここまで。ありがとうございました。
次回はサインイン時にリスク判定を追加することでセキュリティを高めたいと思います。