アダプティブ セッションの有効期間ポリシーを構成する
警告
現在、パブリック プレビューで構成可能なトークン有効期間機能を使用している場合、同一のユーザーまたはアプリの組み合わせに対し、異なる 2 つのポリシー (1 つはこの機能で、もう 1 つは構成可能なトークン有効期間機能で使用) を作成することはサポートしていないことに注意してください。 Microsoft は、2021 年 1 月 30 日に更新およびセッション トークン有効期間の構成可能なトークン有効期間機能を廃止し、条件付きアクセス認証セッション管理機能に置き換えました。
[サインインの頻度] を有効にする前に、テナントで他の再認証設定が無効になっていることを確認してください。 [信頼されたデバイスで MFA を記憶する] が有効になっている場合は、[サインインの頻度] を使用する前に必ず無効にしてください。この 2 つの設定を一緒に使用すると、ユーザーに予期せずにメッセージが表示される可能性があります。 再認証のプロンプトとセッションの有効期間の詳細については、「再認証プロンプトを最適化し、Microsoft Entra 多要素認証のセッションの有効期間を理解する」の記事を参照してください。
ポリシーのデプロイ
ポリシーが期待どおりに機能することを確実にするために推奨されるベスト プラクティスは、運用環境にロールアウトする前にポリシーをテストすることです。 テスト テナントを使用して、新しいポリシーが意図したとおりに機能するかどうかを確認するのが理想的です。 詳細については、「条件付きアクセスのデプロイを計画する」を参照してください。
ポリシー 1:サインイン頻度コントロール
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[ポリシー] に移動します。
[新しいポリシー] を選択します。
ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
ターゲット クラウド アプリなど、顧客の環境に必要なすべての条件を選択します。
注意
最高のユーザー エクスペリエンスが得られるように、Exchange Online や SharePoint Online などの主要な Microsoft Office アプリに、同じ認証プロンプト頻度を設定することをお勧めします。
[アクセス制御]>[セッション] で以下の手順を実行します。
- [サインインの頻度] を選択します。
- [Periodic reauthentication] (定期的な再認証) を選択し、時間または日の値を入力するか、[Every time] (毎回) を選択します。
- [サインインの頻度] を選択します。
ポリシーを保存します。
ポリシー 2:永続的ブラウザー セッション
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[ポリシー] に移動します。
[新しいポリシー] を選択します。
ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
すべての必要な条件を選択します。
Note
このコントロールは条件として [すべてのクラウド アプリ] を選ぶ必要があります。 ブラウザー セッション永続化は認証セッション トークンによって制御されます。 ブラウザー セッションのすべてのタブは 1 つのセッション トークンを共有するため、それらすべては永続性の状態を共有する必要があります。
[アクセス制御]>[セッション] で以下の手順を実行します。
[永続的ブラウザー セッション] を選択します。
Note
Microsoft Entra 条件付きアクセスの永続的ブラウザー セッション構成は、両方のポリシーを構成している場合、同じユーザーの企業ブランド ウィンドウの "サインインの状態を維持しますか?" 設定を上書きします。
ドロップダウンから値を選択します。
ポリシーを保存します。
ポリシー 3: 危険なユーザーを毎回サインイン頻度コントロール
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- 完了 を選択します。
- [リソースの ターゲット>リソース (旧称クラウド アプリ))>Includeで、 すべてのリソース (旧称 "すべてのクラウド アプリ") を選択します。
- [条件]>[ユーザー リスク] で、 [構成] を [はい] に設定します。 [ポリシーを適用するために必要なユーザー リスクのレベルを構成します] で、 [高] を選択した後、 [完了] を選択します。
- [アクセス制御]>[付与] で、 [アクセスを許可] 、 [パスワードの変更を必須とする] の順に選択し、 [選択] を選択します。
- [セッション制御]>[サインインの頻度] で、[Every time] (毎回) を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
検証
What If ツールを使用して、ポリシーをどのように構成したかに基づき、ユーザーからターゲット アプリケーションへのサインインおよび他の条件をシミュレートします。 認証セッションの管理コントロールが、ツールの結果に表示されます。
プロンプトの許容範囲
ポリシーで [毎回] が選ばれている場合、5 分の時刻のずれを考慮して、5 分に 1 回以下の頻度でユーザーにプロンプトを表示するようにします。 ユーザーが過去 5 分間に MFA を完了し、再認証を要求する別の条件付きアクセス ポリシーにヒットした場合、ユーザーにプロンプトは表示されません。 再認証のためにユーザーを過剰に昇格すると、生産性に影響を与え、ユーザーが開始しなかった MFA 要求を承認するリスクが高まる可能性があります。 特定のビジネス ニーズに対してのみ、"サインインの頻度: 毎回" を使用します。
既知の問題
- モバイル デバイスについてサインインの頻度を構成すると、サインイン頻度の間隔後の認証が低速になる場合があります (平均で 30 秒かかる可能性があります)。 また、さまざまなアプリで同時に発生する可能性もあります。
- iOS デバイスについて: アプリで最初の認証要素として証明書が構成されており、アプリにサインインの頻度と Intune モバイル アプリケーション管理ポリシーの両方が適用されている場合、そのポリシーがトリガーされると、エンド ユーザーがアプリにサインインできなくなります。
次のステップ
- 環境用に条件付きアクセス ポリシーを構成する準備ができたら、「条件付きアクセスのデプロイを計画する」を参照してください。