次の方法で共有


Microsoft Entra 条件付きアクセスのサービス依存関係の概要

条件付きアクセス ポリシーを使用すると、Web サイトやサービスに対するアクセス要件を指定できます。 たとえば、アクセス要件に、Multi-Factor Authentication (MFA) またはマネージド デバイスの要件を含めることができます。

サイトまたはサービスに直接アクセスすると、通常、関連するポリシーの影響を簡単に確認できます。 たとえば、SharePoint Online に Multi-Factor Authentication (MFA) を必要とするポリシーを構成すると、SharePoint Web ポータルにサインインするたびに MFA が適用されます。 ただし、他のクラウド アプリとの依存関係があるクラウド アプリがあるため、ポリシーの影響が常に簡単に確認できるとは限りません。 たとえば、Microsoft Teams では SharePoint Online のリソースへのアクセスを提供できます。 そのため、現在のシナリオで Microsoft Teams にアクセスすると、SharePoint MFA ポリシーの対象にもなります。

ヒント

Office 365 アプリの使用は、Office スタック内のサービスの依存関係に関する問題を回避するために、すべての Office アプリが対象となります。

ポリシーの適用

サービス依存関係を構成している場合は、事前バインディングまたは遅延バインディングを使用してポリシーを適用できます。

  • 事前バインディング ポリシー適用では、ユーザーが呼び出し元のアプリにアクセスする前に依存サービス ポリシーを満たす必要があります。 たとえば、ユーザーが Microsoft Teams にサインインする前に SharePoint ポリシーを満たす必要があります。
  • 遅延バインディング ポリシー適用は、ユーザーが呼び出し元アプリにサインインした後で行われます。 呼び出し元アプリがダウンストリーム サービスのトークンを要求するまで、適用が延期されます。 例としては、Planner にアクセスする Microsoft Teams や SharePoint にアクセスする Office.com があります。

次の図は、Microsoft Teams サービス依存を示しています。 実線矢印は事前バインディング適用を示し、Planner を指す破線矢印は遅延バインディング適用を示します。

Microsoft Teams サービスの依存関係を示す図。

ベスト プラクティスとして、可能な場合には常に、関連するアプリおよびサービスに対して共通のポリシーを設定することをお勧めします。 一貫性のあるセキュリティ体制によって、最適なユーザー エクスペリエンスが実現します。 たとえば、Exchange Online、SharePoint Online、Microsoft Teams 全体で共通のポリシーを設定すると、ダウンストリーム サービスに適用されるさまざまなポリシーが原因で発生するプロンプトを減らすことができます。

Microsoft 365 内のアプリケーションで共通のポリシーを実現するための優れた方法は、個々のアプリケーションを対象にするのではなく、Office 365 アプリを使用することです。

次の表には、クライアント アプリが満たす必要があるサービス依存関係をほかにもいくつか示しています。 この一覧はすべてを網羅したものではありません。

クライアント アプリ ダウン ストリーム サービス 適用
Azure Data Lake Windows Azure Service Management API(ポータルと API) 事前バインディング
Microsoft Classroom Exchange 事前バインディング
SharePoint 事前バインディング
Microsoft Teams Exchange 事前バインディング
MS Planner 遅延バインディング
Microsoft Stream 遅延バインディング
SharePoint 事前バインディング
Skype for Business Online 事前バインディング
Microsoft Whiteboard 遅延バインディング
Office ポータル Exchange 遅延バインディング
SharePoint 遅延バインディング
Outlook Groups Exchange 事前バインディング
SharePoint 事前バインディング
Power Apps Windows Azure Service Management API(ポータルと API) 事前バインディング
Windows Azure Active Directory 事前バインディング
SharePoint 事前バインディング
Exchange 事前バインディング
Power Automate Power Apps 事前バインディング
Project Dynamics CRM 事前バインディング
Skype for Business Exchange 事前バインディング
Visual Studio Windows Azure Service Management API(ポータルと API) 事前バインディング
Microsoft フォーム Exchange 事前バインディング
SharePoint 事前バインディング
Microsoft To Do Exchange 事前バインディング
SharePoint SharePoint Online Web クライアントの拡張機能 事前バインド
分離された SharePoint Online Web クライアントの拡張機能 事前バインド
SharePoint クライアント拡張 Web アプリケーション プリンシパル (存在する場合) 事前バインディング

サービスの依存関係のトラブルシューティング

Microsoft Entra のサインイン ログは、環境内で条件付きアクセス ポリシーが適用された理由とその方法のトラブルシューティングを行う際の貴重な情報源です。 条件付きアクセスに関連する予期しないサインイン結果のトラブルシューティングの詳細については、「条件付きアクセスでのサインインに関する問題のトラブルシューティング」の記事を参照してください。

次のステップ

お使いの環境に条件付きアクセスを実装する方法については、「Microsoft Entra ID の条件付きアクセスの展開を計画する」をご覧ください。