はじめに
複雑な条件付きアクセスを見たとき、「これ、どうなってるの?」と混乱したことはありませんか?
そんなときに役立ったのが「ベン図」でした、というお話です。
私はAVDのアクセス制御で使っていますが、
ある時、他の人が設計した条件付きアクセスを読み解く機会がありました。
その時に実践した方法を紹介します。
- 条件付きアクセスは複雑で理解しづらい
- 条件付きアクセスよく分からない
と言った方々に少しでもお役に立てば幸いです。
1. 条件付きアクセスとは
条件付きアクセスとは
「どこからアクセスしているか」「どんなデバイスか」などの条件でアクセスを制御できます。
例えば「社内LANに接続されている端末」や、「特定のデバイス」のみアクセスを許可するといった設定が可能です。
1-1.設定方法
Microsoft Entra 管理センターから設定します。
以下のように条件付きアクセス設定からポリシーを作成します。
以下にユーザ、ターゲットとなるリソース、NWの条件、デバイスの条件、条件の例外となるユーザ、許可/拒否などを設定します。
最初はレポート専用モードを使用して設定確認してから適用することをおすすめします。
ロックアウト※される可能性があります。
※二度とログインできなくなってしまうこと。
1-2. ポリシーが複数ある場合
私の知る限り、ポリシーが複数ある場合に一覧で見比べる良い方法はありません。
よって1つずつ確認していく必要があります。
ポリシー数が少ない場合は見て判断したり、Excel等を使って整理するとよいと思います。
しかし、5個以上になると頭の中だけで整理するのはかなり難しくなります。
2. ベン図とは
ベン図とは円が重なり合ってできた図形の一種です。
以下のようなものです。
ANDやORを表現できます。
2-1. A AND B
2-2. A OR B
3. 組み合わせて理解する
パターン例をご紹介します。
条件付きアクセスの条件は基本的にAND条件になります。
3-1. パターン1
- 全ての場所にMFAを使えばアクセスを許可
- 社内LANは除く
緑のエリアは全てMFAがあればアクセス許可
3-2. パターン2
- 全てに対してMFA認証すればアクセス許可
- intune準拠端末と社内LANを例外にしている
intune端末かつ社内LAN以外は全てMFAがあればアクセス許可
最後に
条件付きアクセスはベン図を使ってみると理解しやすくなるという話でした。
個人的には好きな方法です。
ただ、図はホワイトボードや紙に書くとよいかと思います。
条件付きアクセスの試験などをする際はベン図を見ながら今テストしているのはどのエリアか確認しながら試すと理解しやすいです。
また、他人に説明する際にもよかったです。
※パターン例を挙げてみましたが、少し伝わりづらい部分があるかもしれません。今後、いい事例があればベン図でパターンを追加できればと思います。