ゼロ トラストの条件付きアクセス

このセクションの記事では、条件付きアクセスを使用してクラウド サービスへのアクセスを制御 ゼロ トラスト 原則を実装するための設計とフレームワークを提供します。 このガイダンスは、お客様がリソースへのアクセスを制御するのに役立つ長年の経験に基づいています。

ここで示すフレームワークは、ユーザー アクセスが制御されるようにしながら、セキュリティと使いやすさのバランスを取るために使用できる構造化されたアプローチを表しています。

このガイダンスでは、ペルソナに基づくアクセスをセキュリティで保護するための構造化されたアプローチが提案されています。 また、提案されたペルソナの内訳も含まれており、各ペルソナの条件付きアクセス ポリシーを定義します。

対象ユーザー

このガイダンスは、次のユーザーを対象としています。

• Azure で保護されたリソースへのアクセスを制御するためのセキュリティと ID ソリューションを設計します。
• ソリューションが提供された後に維持します。

対象ユーザーは、Microsoft Entra ID に関する基本的な実用的な知識と、多要素認証、条件付きアクセス、ID、およびセキュリティの概念に関する一般的な理解を持っています。

次の領域の知識も推奨されます。

• Microsoft エンドポイント マネージャー
• Microsoft Entra アイデンティティ管理
• ゲスト ユーザーの Microsoft Entra 条件付きアクセスと多要素認証 (B2B)
• Microsoft Entra のセキュリティ ポリシーとリソース保護
• B2B 招待プロセス

必要条件

どの会社にも異なる要件とセキュリティ ポリシーがあります。 アーキテクチャを作成し、条件付きアクセス用に推奨されるこのフレームワークに従う場合は、会社の要件を考慮する必要があります。 このガイダンスには、アーキテクチャの作成時に入力として使用できるゼロ トラストに関連する原則が含まれています。 その後、特定の会社の要件とポリシーに対処し、それに応じてアーキテクチャを調整できます。

たとえば、会社には次の要件があるとします。

• すべてのアクセスは、少なくとも 2 つの要因によって保護する必要があります。
• アンマネージド デバイスにデータがありません。
• 可能な限り、リソースへのアクセスに準拠しているデバイスが必要です。
• ゲスト ユーザー アクセスは、アクセス パッケージとアクセス レビューを使用して IDENTITY Governance によって管理される必要があります。
• クラウド サービスへのアクセスは、パスワードレス認証に基づいている必要があります。

条件付きアクセスのガイダンス

このセクションには、次の記事が含まれています。

• 条件付きアクセスの設計の原則と依存関係 は、会社の要件と共に、推奨されるペルソナベースのアーキテクチャへの入力として機能する推奨原則を提供します。
• 条件付きアクセス アーキテクチャとペルソナ では、条件付きアクセス ポリシーを構築するためのペルソナベースのアプローチが導入されています。 また、開始点として使用できる、推奨されるペルソナも提供されます。
• 条件付きアクセス フレームワークとポリシー では、ペルソナに基づいて条件付きアクセス ポリシーを構成し、名前を付ける方法に関する具体的な詳細が提供されます。

寄稿者

この記事は Microsoft によって管理されています。 もともとは次の共同作成者によって作成されました。

プリンシパル作成者:

• クラウス ジェスペルセン |プリンシパル コンサルタント ID&Sec

非公開の LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次の手順

• ラーニング パス: ID とアクセス を実装および管理する
• 条件付きアクセスとは
• 一般的な条件付きアクセス ポリシー

関連リソース

• 条件付きアクセスの設計原則と依存関係の
• 条件付きアクセスのアーキテクチャとペルソナ
• 条件付きアクセスのフレームワークとポリシー