LoginSignup
1
1

More than 3 years have passed since last update.

@naoto_sekiguchi(N S)

Azure AD の機能でドメイン単位のアクセス制限を行うことはできる?

Posted at

基本的には、Azure AD の機能でドメイン単位のアクセス制限を行うことはできません。
基本的にと書いたのは、対象のドメインを AD FS に Federation させて、AD FS のクレーム ルールで何とかするという方法も考えられますが、そこまでするメリットはないように見受けられます。

Azure AD の機能でアクセス制限を行いたい場合は、条件付きアクセスを使用して、ユーザー単位、グループ単位、アプリケーション単位、デバイス単位などなどでアクセス制限をかけるほうがはるかに簡単です。

では、ドメイン単位のアクセス制御が Azure AD の機能で全くできないかというと、そういうわけでもありません。

条件付きアクセス と 動的グループ の機能を併用することで、一定のアクセス制限は可能となります。

具体的な設定方法は?

動的グループのメンバーシップ ルールで以下のような設定を行います。

プロパティ : userPrincipalName
演算子 : Contains
値 :  domainnameを指定

このような動的グループのメンバーシップ ルールを制御したいドメイン数分用意します。
このメンバーシップ ルールによって、UPN に特定の値 (ドメイン) が含まれるユーザーが存在する場合、指定したグループに自動的にユーザーを仕分けることができます。

そして、条件付きアクセスの適用対象となるグループに、上記で作成したグループを指定します。
指定したグループごとに、このアプリにはアクセスさせたくない、といった指定を設定すれば、実質的にドメイン単位での特定のアプリケーションへのアクセス制限を実現することができます。

そのほかの機能は?

そのほかの機能としては、テナント制限がありますが、こちらは社内環境の Proxy に社内からアクセス可能なテナントを指定することで、他のテナントにアクセスさせなくするということが実現できますが、制限の仕組みは全然異なるものとなります。

テナント制限について
https://github.com/jpazureid/blog/blob/master/articles/azure-active-directory/tenant-restriction.md

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1