条件付きアクセスによる準拠しているネットワークのチェックを有効にする
グローバル セキュア アクセスで条件付きアクセスを使用する組織は、多層防御を提供する複数の条件を使用して、Microsoft アプリ、サードパーティの SaaS アプリ、非公開の基幹業務 (LoB) アプリへの悪意のあるアクセスを防ぐことができます。 これらの条件には、ユーザー ID やトークンの盗難を予防するために、デバイスのコンプライアンスや場所などが含まれる場合があります。 グローバル セキュア アクセスには、Microsoft Entra ID 条件付きアクセス内で対応ネットワークの概念が導入されています。 この準拠しているネットワークのチェックにより、ユーザーが特定のテナントの検証済みネットワーク接続モデルから接続していて、管理者によって適用されるセキュリティ ポリシーに準拠していることを確認できます。
構成されたリモート ネットワークの内側にあるデバイスやユーザーにインストールされた グローバル セキュア アクセス クライアントを使用すると、管理者は高度な条件付きアクセス制御を使用して、準拠ネットワークの背後にあるリソースをセキュリティで保護できます。 この対応ネットワーク機能により、管理者は、エグレス IP アドレスの一覧を維持する必要がなく、アクセス ポリシーをより簡単に管理できます。 これにより、組織の VPN 経由でトラフィックを折り返す必要がありません。
対応ネットワーク チェックの適用
準拠しているネットワークの強制により、トークンの盗難または再生攻撃のリスクが軽減されます。 対応ネットワークの適用は、認証プレーン (一般提供) とデータ プレーン (プレビュー) で行われます。 認証プレーンの適用は、ユーザー認証時に Microsoft Entra ID によって実行されます。 敵対者がセッション トークンを盗み、組織の対応ネットワークに接続されていないデバイスから再生しようとした場合 (たとえば、盗まれた更新トークンを使用してアクセス トークンを要求する場合)、Entra ID はすぐに要求を拒否し、それ以上のアクセスはブロックされます。 データ プレーンの適用は、継続的アクセス評価 (CAE) をサポートするサービスで機能します (現在は SharePoint Online のみ)。 CAE をサポートするアプリでは、テナントの対応ネットワークの外部で再生される盗まれたアクセス トークンは、ほぼリアルタイムでアプリケーションによって拒否されます。 CAE を使用しない場合、盗まれたアクセス トークンは、その完全な有効期間まで続きます (既定では 60 - 90 分)。
この準拠しているネットワークのチェックは、各テナントに固有です。
- このチェックを使用すると、Microsoft の Global Secure Access サービスを使用している他の組織はリソースにアクセスできません。
- たとえば、Contoso は、Exchange Online や SharePoint Online などのサービスを準拠しているネットワークのチェックの背後で保護し、Contoso ユーザーのみがこれらのリソースにアクセスできるようにすることができます。
- 準拠しているネットワークのチェックを Fabrikam のような別の組織が使用していた場合、Contoso の準拠しているネットワークのチェックには合格しません。
準拠しているネットワークは、Microsoft Entra で構成できる IPv4、IPv6、または地理的な場所とは異なります。 管理者は、対応ネットワーク IP アドレスまたは範囲を確認して維持し、セキュリティ態勢を強化し、継続的な管理オーバーヘッドを最小限に抑える必要がありません。
前提条件
- グローバル セキュア アクセス機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
- グローバル セキュア アクセス機能を管理するためのグローバル セキュア アクセス管理者ロールのロール。
- 条件付きアクセス ポリシーとネームド ロケーションを作成および操作する条件付きアクセス管理者。
- この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
- Microsoft トラフィック転送プロファイルを使用するには、Microsoft 365 E3 ライセンスが推奨されます。
既知の制限事項
- 継続的アクセス評価を使用した対応ネットワーク チェック データ プレーンの適用 (プレビュー) は、SharePoint Online と Exchange Online でサポートされています。
- グローバル セキュア アクセス条件付きアクセス シグナリングを有効にすると、認証プレーン (Microsoft Entra ID) とデータ プレーン シグナリング (プレビュー) の両方のシグナリングが可能になります。 現時点では、これらの設定を個別に有効にすることはできません。
- 現在、対応ネットワーク チェックは、プライベート アクセス アプリケーションではサポートされていません。
条件付きアクセスの Global Secure Access シグナリングを有効にする
準拠しているネットワークのチェックが行われるようにするために必要な設定を有効にするには、管理者は次の手順のようにする必要があります。
- Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
- [Global Secure Access]、[設定]、[セッション管理]、[アダプティブ アクセス] の順に移動します。
- トグルを選択して、(すべてのクラウド アプリを対象とする) Entra ID の CA シグナリングを有効にします。 これにより、Office 365 (プレビュー) の CAE シグナリングが自動的に有効になります。
- [保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。
- 場所の種類が [ネットワーク アクセス] である [All Compliant Network locations] (準拠しているすべてのネットワークの場所) という場所があることを確認します。 組織は必要に応じて、この場所を信頼済みとしてマークできます。
注意事項
準拠しているネットワークのチェックに基づく条件付きアクセス ポリシーがアクティブになっている組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。
準拠ネットワークの内部にあるリソースを保護する
対応ネットワーク条件付きアクセス ポリシーを使用して、Microsoft とサード パーティのアプリケーションを保護できます。 一般的なポリシーでは、対応ネットワークを除くすべてのネットワークの場所に対する "ブロック" 許可が与えられます。 次の例で、この種類のポリシーを構成する手順を示します。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- 保護>条件付きアクセス を参照します。
- [新しいポリシーの作成] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[組み込み] で、[すべてのリソース] (以前の [すべてのクラウド アプリ]) を選択します。
- 組織が Microsoft Intune にデバイスを登録している場合は、循環依存の関係を回避するために、条件付きアクセス ポリシーからアプリケーション Microsoft Intune 登録と Microsoft Intune を除外することをお勧めします。
- [ネットワーク] 以下は次のとおりです。
- [構成] を [はい] に設定します。
- [Include](含める) で、 [すべての場所] を選択します。
- [除外] で、[準拠しているすべてのネットワークの場所] という場所を選択します。
- [アクセス制御] で、次のようにします。
- [許可] を選択し、[アクセスのブロック] を選択して、さらに [選択] を選択します。
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。
- [作成] ボタンを選択して、ポリシーを作成および有効化します。
Note
グローバル セキュア アクセスと、"すべてのリソース" のために準拠したネットワークを必要とする条件付きアクセス ポリシーを使用します。
グローバル セキュア アクセス リソースは、ポリシーで "準拠しているネットワーク" が有効になっている場合、条件付きアクセス ポリシーから自動的に除外されます。 明示的にリソースを除外する必要ありません。 これらの自動的な除外は、グローバル セキュア アクセス クライアントが必要なリソースへのアクセスをブロックされないようにするために必要です。 グローバル セキュア アクセスに必要なリソースは次のとおりです。
- グローバル セキュア アクセス トラフィック プロファイル
- グローバル セキュア アクセス ポリシー サービス (内部サービス)
除外されたグローバル セキュア アクセス リソースの認証のためのサインイン イベントは、Microsoft Entra ID サインイン ログに次のように表示されます。
- グローバル セキュア アクセスを使用するインターネット リソース
- グローバル セキュア アクセスを使用する Microsoft アプリ
- グローバル セキュア アクセスを使用するすべてのプライベート リソース
- ZTNA ポリシー サービス
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
- サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。
準拠しているネットワークのポリシーを試す
- グローバル セキュア アクセス クライアントがインストールされ、実行されているエンド ユーザー デバイスで、https://outlook.office.com/mail/ または
https://yourcompanyname.sharepoint.com/
から、リソースにアクセスできます。 - Windows トレイでグローバル セキュア アクセス クライアントを右クリックし、[一時停止] を選択してアプリケーションを一時停止します。
- https://outlook.office.com/mail/ または
https://yourcompanyname.sharepoint.com/
を参照すると、[現時点ではこれにはアクセスできません] というエラー メッセージが表示されてリソースにアクセスできません。
トラブルシューティング
新しい名前付きの場所が Microsoft Graph を使用して自動的に作成されたことを確認します。
GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations