はじめに
今回は、以下の全5回の最終回になります。
- サインインを自社拠点IPからのみに制限する
- サインイン時にMFAを求める
- サインイン時にMFAを求めないパターンを残す
- サインイン時にリスク判定を追加する
- 特定のアプリのみ自社拠点外からのサインインを許可する
自社拠点内からのみの利用に制限したい場合でも、例えばスマホアプリが提供されているサービスであればアプリを利用したいという要望はあるかと思います。
その場合、自社拠点外からもサインインできるように設定する必要があるため、今回はAuthentication Policyを設定していきます。
アプリを利用許可するためのグループを作成する
アプリを利用しているユーザーの内でも、特定のユーザーにのみ許可したい場合には必要です。
アプリを利用している全ユーザーで問題なければ、アサインに使用しているグループと同じで大丈夫です。
アプリアクセス許可用のAuthentication Policyを作成する
ポリシー作成
Add Policy から作成します。
デフォルトポリシーと同じルールを追加
デフォルトポリシーに設定されている以下のルールを追加します。
- MFA対象外
- 自社拠点IPを許可
- Catch-all Rule
アプリアクセス許可用のルールを追加
対象グループに先ほど作成したグループを指定します。
また、IPアドレスによる接続制限がないため必ずMFAを設定します。
作成したポリシーが一番上になるようにルールの順番を変更します。
こんな感じ。
対象アプリのAuthentication Policyを変更する
作成した Authentication Policy を対象のアプリに割り当てます。
割り当てる方法は以下の2パターンあり、どちらでも大丈夫です。
- Authentication Policy にアプリを追加する
- アプリの Authentication Policy を変更する
Authentication Policy にアプリを追加する
Authentication Policy を選択し、Applicationsタブ > Add app からアプリを追加します。
対象アプリを検索して Add > Close します。
Authentication Policy にアプリが追加されます。
アプリの Authentication Policy を変更する
対象アプリを検索 SignOnタブ > User authentication から変更します。
Edit > アプリアクセス許可用 を選択して Save で完了です。
今回作成した各種ポリシー設定のスクショ
Global Session Policy
自社用デフォルトポリシー
デフォルトルール
リスク高ルール
MFA対象外ポリシー
MFAを求めないルール
Authentication Policy
デフォルトポリシー
自社拠点IPを許可ルール
MFA対象外ルール
Catch-all Rule
アプリアクセス許可ポリシー
アプリアクセス許可ルール
その他のルールはデフォルトポリシーと同一
さいごに
全5回、Global Session Policy と Authenticaiton Policy をいろいろいじってみました。
今回でポリシー関連はいったん終わりとなります。
ありがとうございました。