Entra IDとは
Microsoft Entra ID はクラウド型の ID およびアクセス管理 (IAM) ソリューションです。
代表的な機能としては以下があります。(全量ではないです)
- SSO (Sigle Sign On)
- MFA (Multi Factor Authenticator)
- 条件付きアクセス
- ID 保護 (Identity Protection)
- 特権アクセス制御 (Privileged Identity Management)
- 外部ID連携 (External ID)
- ガバナンス管理 (Microsoft Entra ID Governance)
本稿では条件付きアクセスについて考えていきます。
条件付きアクセスとは
Entra ID で認証する際に指定されたアプリケーションに対しての認証を許可/拒否する条件を設定しておくことにより、条件にマッチした認証のみを許可/拒否することでアプリケーションへのアクセスを安全なものにする機能です。
本機能を利用するには、Microsoft Entra ID P1以上のライセンスが利用するユーザー数分必要となります。
※Microsoft 365 ライセンスに含まれるものもあるので詳しくは公式ドキュメントを参照ください。
設定項目
条件付きアクセスのルールは細かく設定でき、2025/12/21現在では以下のような設定が可能となっています。
- 割り当て
- ユーザーまたはエージェント(Preview)
- ターゲット リソース
- ネットワーク
- 条件
- アクセス制御
- 許可
- セッション
それぞれの設定値について細かく見ていきましょう。
ユーザーまたはエージェント(Preview)
本設定値では以下の内容が選択、設定可能です。
まずここの項目でどのユーザーを対象とするかを選択します。
例えば特定の部署グループのみを対象としたり、ゲスト/外部ユーザーのみを拒否にするといった使い方が可能です。
| 項目名 | 設定値 | 概要 |
|---|---|---|
| このポリシーは何に適用されますか? | ユーザーとグループ | ユーザーとグループは従来からあるもので Entra ID のユーザーまたはグループを対象にする。 |
| エージェント(Preview) | エージェントは Entra Agents にて設定可能なエージェントIDを設定する。 |
以下は「ユーザーとグループ」を選択した際に設定可能な項目となります。
それぞれ「対象」もしくは「対象外」で設定できます。
対象の場合は、作成するポリシー内で対象とするユーザーもしくはグループ、
対象外の場合は、作成するポリシー内で対象から除外するユーザーもしくはグループとなります。
| 項目名 | 設定値 | 概要 |
|---|---|---|
| 対象 | なし | 特定のユーザー/グループを対象としない。 |
| ユーザー | 設定したユーザーを対象とする。 | |
| グループ | 設定したグループを対象とする。 | |
| 対象外 | ゲストまたは外部ユーザー | ゲスト招待しているユーザーもしくは External ID を対象から除外する。 |
| ディレクトリロール | 選択した Entra ID のロールを対象から除外する。 | |
| ユーザーとグループ | 選択した Entra ID のユーザーとグループを対象から除外する。 |
ターゲット リソース
リソースで対象/対象外とできるターゲットは以下となります。
| 項目名 | 設定値 | 対象/対象外 | 概要 |
|---|---|---|---|
| リソース(以前のクラウド アプリ) | なし | 対象/対象外 | アプリの指定なし。 |
| グローバル セキュア アクセスを使った全てのインターネット リソース | 対象/対象外 | Microsoft Entra Internet Access からのインターネット アクセス トラフィック転送プロファイルをターゲットとして設定できる。 | |
| 全てのエージェントリソース(Preview) | 対象/対象外 | Agent ID ブループリント プリンシパルと Agent ID に対するすべてのトークン要求を設定できる。 | |
| 全てのリソース(以前の「すべてのクラウドアプリ」) | 対象 | Web サイトやサービスからのすべてのトークン要求に対して設定できる。 | |
| リソースの選択 | 対象/対象外 | 選択したアプリケーションをターゲットとして設定できる。 |
ユーザー操作で設定できるターゲットは以下となります。
| 項目名 | 概要 |
|---|---|
| セキュリティ情報の登録 | ユーザーがセキュリティ情報を登録しようとした操作を対象とできる。 |
| デバイスの登録または参加 | デバイスを Microsoft Entra ID に登録または参加する捜査を対象とできる。 |
認証コンテキストは Entra ID で認証コンテキストを設定している際に有効となります。
構成方法については公式ドキュメントを参照ください。
ネットワーク
ネットワークの条件は構成するかどうかをまず選択して、構成する場合に以下項目に対して設定します。
| 項目名 | 対象/対象外 | 概要 |
|---|---|---|
| 任意のネットワークまたは場所 | 対象 | 特定しない全てのネットワーク。 |
| すべての信頼できるネットワークと場所 | 対象/対象外 | 信頼できるネットワークとしてマークされている、多要素認証の信頼できるIPとして構成されているものが選択可能。 |
| すべての準拠しているネットワークの場所 | 対象/対象外 | グローバルセキュアアクセス機能を利用している場合、セキュリティポリシーに準拠している場所が選択可能。 |
| 選択したネットワークと場所 | 対象/対象外 | 設定済みの名前付きの場所を選択可能。 |
条件
| 項目名 | 設定値 | 概要 |
|---|---|---|
| ユーザーのリスク | 高/中/低 | Entra ID Protection でセキュリティ侵害が発生したと検出時のレベルを構成する。 |
| サインインのリスク | 高/中/低/リスクなし | Entra ID Protection でサインインリスク検出時の適用レベルを構成する。 |
| インサイダー リスク | 昇格/中/軽微 | Microsoft Purview インサイダーリスク管理機能で特定のリスクレベルを割り当てられているユーザーを制御する。 |
| デバイス プラットフォーム | 任意のデバイス Android iOS Windows Phone Windows macOS Linux |
特定のプラットフォームを制御することができる。 |
| 場所 | 任意のネットワークまたは場所 すべての信頼できるネットワークと場所 すべての準拠しているネットワークの場所 選択したネットワークと場所 |
ネットワーク項目と同様に設定が可能。 |
| クライアント アプリ | ブラウザー モバイルアプリとデスクトップクライアント Exchange ActiveSync クライアント 他のクライアント |
特定のクライアントアプリケーションを対象とするよう制御可能。 |
| デバイスのフィルター | フィルター処理されたデバイスをポリシーに含める/から除外する | Entra ID で管理しているデバイス情報からフィルターを作成して特定条件のデバイスを条件の対象とできる。 |
| 認証フロー | デバイスコードフロー/認証の転送 | 特定の認証や承認プロトコルを使用した制御が可能となる。 |
許可
許可の項目では以下の項目に対して、アクセス権の付与もしくはアクセスのブロックを設定することができます。
| 項目名 | 概要 |
|---|---|
| 多要素認証を要求する | 追加のセキュリティ要件を満たす必要がある。 |
| 認証強度が必要 | MFA強度、パスワードレスMFA強度、フィッシングに強いMFA強度から選択して追加の認証強度を強制する。 |
| デバイスは準拠しているとしてマーク済みである必要があります | Microsoft Intune に準拠している必要がある。 |
| Microsoft Entra ハイブリッド参加済みデバイスが必要 | Microsoft Entra Hybrid 参加済みのデバイスである必要がある。 |
| 承認されたクライアント アプリが必要です | Microsoft Intune アプリ保護ポリシーを使用して承認済みアプリへのアクセスを制限する。 |
| アプリの保護ポリシーが必要 | Microsoft Intune アプリ保護ポリシーを使用して承認済みアプリへのアクセスを制限する。 |
| パスワードの変更を必要とする | アクセスする際にパスワード変更を強制する。 |
| リスクの修復が必要 | 認証時にリスクが検出されたユーザーのセッションは取り消される。 |
セッション
セッションの項目では以下の制限をつけることができます。
| 項目名 | 概要 |
|---|---|
| アプリによって適用される制限を使用する | 選択されたクラウドアプリにデバイス情報を渡すようにでき、準拠デバイスかを判断して制限を設けることができる。 |
| アプリの条件付きアクセス制御を使う | Microsoft Defender for Cloud Apps でのアプリの条件付きアクセス制御を適用することができる。 |
| サインインの頻度 | 再認証する頻度を設定することができる。 |
| 永続的なブラウザー セッション | すべてのクラウドアプリが選択されている場合に構成でき、セッションを永続的に維持することができる。 |
| 継続的アクセス評価をカスタマイズする | 有効期間に基づくトークンの有効期限ではなく、イベントとポリシー評価に基づいてアクセストークンを失効させることができる。 |
| 復元の規定値群を無効にする | 既存のセッションの有効期限が切れるとアクセスを拒否できる。 |
| サインイン セッションにトークン保護を要求する | デバイスバイドサインインセッショントークンのみを受け入れられるようにすることでトークン再生攻撃を減らすことができる。 |
| グローバル セキュア アクセスのセキュリティ プロファイルを使用する | グローバルセキュアアクセス対象リソース用のポリシーを適用する場合に使用する。 |
実際に構成する場合の具体例
各項目についてざっと説明を記載しましたが、じゃあ実際に使う場合はどうするんだ?となりますよね。
実際に企業向けに設計する場合の具体例をいくつかあげていきます。
セッション保持期間制限
以下の設定をすることで、グローバル管理者を除く全てのユーザーに対して7日毎に認証を求めることができます。
長期の利用がないデバイスなどでの不正利用を防ぐ目的などで利用します。
より短い期間での再認証を求める場合は「1日間」などにします。
- 割り当て(ユーザーとグループ)
| 項目名 | 設定値 |
|---|---|
| 対象 | 全てのユーザー |
| 対象外 | グローバル管理者 |
- ターゲットリソース
| 項目名 | 設定値 |
|---|---|
| 対象 | すべてのリソース |
| 対象外 | なし |
- ネットワーク
| 項目名 | 設定値 |
|---|---|
| 対象 | 任意のネットワークまたは場所 |
| 対象外 | なし |
- 条件
| 項目名 | 設定値 |
|---|---|
| デバイス プラットフォーム | 任意のデバイス |
| 場所 | 対象:任意のネットワークまたは場所 |
- 許可
| 項目名 | 設定値 |
|---|---|
| ブロック/アクセス許可 | アクセス権の付与 |
- セッション
| 項目名 | 設定値 |
|---|---|
| サインインの頻度 | 定期的な再認証:7日間 |
特定アプリケーションへの特定デバイスでのアクセス許可
以下の設定をすることで、特定アプリケーションへ特定のデバイスに対してアクセス許可することができます。
以下の例では Office 365 に対して準拠済みかつ Windows/iOS への許可を設定しています。
- 割り当て(ユーザーとグループ)
| 項目名 | 設定値 |
|---|---|
| 対象 | 全てのユーザー |
| 対象外 | グローバル管理者 |
- ターゲットリソース
| 項目名 | 設定値 |
|---|---|
| 対象 | Office 365 |
| 対象外 | なし |
- ネットワーク
| 項目名 | 設定値 |
|---|---|
| 対象 | 任意のネットワークまたは場所 |
| 対象外 | なし |
- 条件
| 項目名 | 設定値 |
|---|---|
| デバイス プラットフォーム | Windows/iOS |
| 場所 | 対象:任意のネットワークまたは場所 |
- 許可
| 項目名 | 設定値 |
|---|---|
| ブロック/アクセス許可 | アクセス権の付与 |
| デバイスは準拠しているとしてマーク済みである必要があります | ☑︎ |
- セッション
| 項目名 | 設定値 |
|---|---|
| 特になし |
特定OSのアクセス拒否
以下の設定をすることで、グローバル管理者を除く全てのユーザーに対して Android デバイスを利用させないことができます。
社給デバイスとして利用していないプラットフォームを明示的に利用できなくする時に利用できます。
- 割り当て(ユーザーとグループ)
| 項目名 | 設定値 |
|---|---|
| 対象 | 全てのユーザー |
| 対象外 | グローバル管理者 |
- ターゲットリソース
| 項目名 | 設定値 |
|---|---|
| 対象 | すべてのリソース |
| 対象外 | なし |
- ネットワーク
| 項目名 | 設定値 |
|---|---|
| 対象 | 任意のネットワークまたは場所 |
| 対象外 | なし |
- 条件
| 項目名 | 設定値 |
|---|---|
| デバイス プラットフォーム | Android |
| 場所 | 対象:任意のネットワークまたは場所 |
- 許可
| 項目名 | 設定値 |
|---|---|
| ブロック/アクセス許可 | アクセスのブロック |
- セッション
| 項目名 | 設定値 |
|---|---|
| 特になし |
まとめ
いかがでしょうか。
Entra ID の条件付きアクセスを利用すると Microsoft 365 はもちろんのこと、Entra ID へアプリケーションとして登録されているアプリケーションに対する認証・アクセス制限をかけることが可能となります。
特定部署や協力会社の方への制限をかけたり Microsoft Intune と連携して社給デバイスのみアクセス可能にしたりと様々な使い道があります。
色々なポリシーを組み合わせて組織にあったアクセスポリシーを作ってみてください。