4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

不正アクセスを低減 ! Azure AD 条件付きアクセス ポリシーを適用して Dynamics 365 (PowerApps) を制御する

Last updated at Posted at 2021-05-26

久しぶりの投稿です。
今回は Azure Active Directory (AAD) の条件付きアクセスを使って Dynamics 365 (PowerApps)がどう制御されるのか手順と共にご紹介します。

シナリオ

企業が社員にアプリケーションを展開する際、利用者の場所やサポートしているデバイスでしかアクセスさせたくないという要望があります。これにより不正アクセスを低減させることができます。条件付きアクセスポリシーを使用することで、利用者の利便性を保ったままセキュリティを確保することができます。

この記事では、代表的なケースでアプリケーションを制御してみます。

ケース1. 特定の場所からのアクセスを制御したい

会社として社員が存在している国からでのみ利用させたいというケースです。
今回は例として、利用者が「日本」の場合はブロックします。

ケース2. 特定のOSのデバイスからのアクセスを制御したい

会社として社員に利用を許可しているデバイスからしかアクセスさせたくない場合です。
今回は例として、利用者がアクセスしてきたデバイスのOSが「iOS」の場合はブロックします。

ケース3. 特定のIPアドレスからのアクセスを制御したい

VPNなど社内で許可されているネットワーク経由からでしかアクセスさせたくないといった場合です。

手順

主な手順は以下の通りです。
0. 事前準備

  1. ブロックする場所の作成
  2. 条件付きアクセスポリシーの作成

0. 事前準備

  • Microsoft 365 テナント
  • Azure Active Directory Premium ライセンス
  • Dynamics 365 (または PowerApps) ライセンス

1. ブロックする場所を作成

Azure AD ログインします。
[Azure Active Directory] > [セキュリティ] > [条件付きアクセス] をクリックします。
[ネームドロケーション]をクリックし、[+国の場所]をクリックします。
名前を付け、[日本] を選択し、作成します。
image.png

2. 条件付きアクセスポリシーの作成

[Azure Active Directory] > [セキュリティ] > [条件付きアクセス] をクリックします。
[ポリシー]を選択肢、新しいポリシーを作成します。
###ブロックするユーザー(またはグループ)を選択します。
image.png
###ブロックを除外するユーザー(またはグループ)を選択します。
image.png
###制御するアプリケーションを選択します。
今回は Common Data Service を選択します。これにより Dynamics 365 (PowerApps) へのアクセス時に制御されます。
image.png
続いて場所を選択します。先ほど作成した日本を選択します。
image.png
制御の種類を選択します。今回はブロックします。
image.png
最後に、ポリシーの有効化を選択し、作成します。
image.png

動作検証

早速確認してみましょう。iPhone からDynamics 365 モバイルアプリにアクセスしてみます。
image.png
Dynamics 365 または PowerApps をタップし、ログインします。
image.png
image.png
ログイン後にアプリを選択します。ポイントはログイン後に制御がかかるという点です。
image.png
image.png
特定のアプリにアクセスすると、ブロックされます。
image.png

なお、サインインレポートによりどの利用者がいつどういう理由でブロックされたかが分析できます。
image.png

複数の条件

上記は場所のみ制御していました。その他にデバイスOS、アクセス元のアプリの種類、デバイスの状態などで制御することができます。
ポリシーを複数作成した場合、上から順番に評価されます。
image.png

また場所とOSという条件を2つ組み合わせてポリシーを作成した場合、AND条件として評価されます。ー>場所=日本 AND デバイスOS=iOS
image.png

image.png

この場合、日本 から Windows 端末でアクセスした場合はブロックされません。

image.png

解説

条件付きアクセスで判断している場所は、利用者のIPアドレスをベースに制御されています。それ以外にGPS(Preview)による制御も設定可能です。注意点としては、すべてユーザーをブロックする際は、必ず除外ユーザーをセットで設定することでミスを防げます。
また、制御は認証後に行われるという点も抑える必要があります。

まとめ

いかがだったでしょうか。条件付きアクセスを使うと利用者の場所やデバイスでアクセスを制御することができます。
今回紹介した内容はすべてトライアル環境で試すことができます。是非お試しください。

Appendix

河野 高也

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?