条件付きアクセス ポリシー テンプレート

条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法を提供します。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせて、最大限の保護を提供するように設計されています。

テンプレートのカテゴリ

条件付きアクセス ポリシー テンプレートは、次のカテゴリに分類されます。

安全な基盤

Microsoft では、すべての組織のベースとして、これらのポリシーを推奨しています。 これらのポリシーはグループとして展開することをお勧めします。

• 管理者に多要素認証を要求する
• セキュリティ情報登録のセキュリティ保護
• レガシー認証をブロックする
• Microsoft 管理 ポータルにアクセスする管理者には多要素認証を要求する
• すべてのユーザーに多要素認証を要求する
• Azure の管理に多要素認証を要求する
• すべてのユーザーに対して準拠しているか、Microsoft Entra ハイブリッド参加済みのデバイス、または多要素認証を要求する
• 準拠しているデバイスを要求する

ゼロ トラスト

グループとしてのこれらのポリシーは、ゼロ トラスト アーキテクチャ のサポートに役立ちます。

• 管理者に多要素認証を要求する
• セキュリティ情報登録のセキュリティ保護
• レガシ認証をブロックする
• すべてのユーザーに多要素認証を要求する
• ゲスト アクセスに多要素認証を要求する
• Azure の管理に多要素認証を要求する
• 危険なサインインに対して MFA を必須にする Microsoft Entra ID P2 が必要です
• 高リスクのユーザーに対してパスワードの変更を必須にするMicrosoft Entra ID P2 が必要です
• 不明なまたはサポートされていないデバイス プラットフォームのアクセスをブロックする
• 永続的なブラウザー セッションなし
• 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する
• すべてのユーザーに対して準拠しているか、Microsoft Entra ハイブリッド参加済みのデバイス、または多要素認証を要求する
• Microsoft 管理 ポータルにアクセスする管理者には多要素認証を要求する
• インサイダー リスクのあるユーザーのアクセスをブロックするMicrosoft Purview が必要です

リモート ワーク

これらのポリシーは、リモート ワーカーを使用して組織をセキュリティで保護するのに役立ちます。

• セキュリティ情報登録のセキュリティ保護
• レガシ認証をブロックする
• すべてのユーザーに多要素認証を要求する
• ゲスト アクセスに多要素認証を要求する
• 危険なサインインに対して MFA を必須にする Microsoft Entra ID P2 が必要です
• 高リスクのユーザーに対してパスワードの変更を必須にするMicrosoft Entra ID P2 が必要です
• 管理者に準拠しているか Microsoft Entra ハイブリッド参加済みのデバイスを要求する
• 不明なまたはサポートされていないデバイス プラットフォームのアクセスをブロックする
• 永続的なブラウザー セッションなし
• 準拠しているデバイスを要求する
• 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する
• アンマネージド デバイスに対してアプリケーションによって適用される制限を使用する

管理者の保護

これらのポリシーは、環境内の高い特権を持つ管理者に送信され、侵害によって最も損害が発生する可能性があります。

• 管理者に多要素認証を要求する
• レガシ認証をブロックする
• Azure の管理に多要素認証を要求する
• 管理者に準拠しているか Microsoft Entra ハイブリッド参加済みのデバイスを要求する
• 準拠しているデバイスを要求する
• フィッシングに強い多要素認証を管理者に要求する

新しい脅威

このカテゴリのポリシーは、侵害から保護するための新しい方法を提供します。

• フィッシングに強い多要素認証を管理者に要求する

これらのテンプレートは、Microsoft Entra 管理センター>保護>条件付きアクセス>テンプレートから新しいポリシーを作成するにあります。 [表示数を増やす] を選択して、各シナリオのすべてのポリシー テンプレートを表示します。

重要

条件付きアクセス テンプレート ポリシーは、ポリシーを作成しているユーザーのみをテンプレートから除外します。 組織で他のアカウントを除外する必要がある場合は、作成された後にポリシーを変更できます。 これらのポリシーは、Microsoft Entra 管理センター>保護>条件付きアクセス>ポリシー で確認できます。 ポリシーを選択してエディターを開き、除外されるユーザーとグループを変更して、除外するアカウントを選択します。

既定では、各ポリシーは レポート専用モード で作成されるため、意図した結果を得るために、各ポリシーを有効にする前に、組織で使用状況をテストおよび監視することをお勧めします。

組織は、個々のポリシー テンプレートを選択できるほか、次のことが可能です。

• ポリシー設定の概要を表示する。
• 組織のニーズに基づいてカスタマイズするために編集する。
• プログラムのワークフローで使用するために JSON 定義をエクスポートする。
  • これらの JSON 定義は、編集した後、[ポリシー ファイルのアップロード] オプションを使用して、メインの [条件付きアクセス ポリシー] ページでインポートできます。

その他の一般的なポリシー

• デバイス登録に多要素認証 (MFA) を要求する
• 場所ごとにアクセスをブロックする
• 特定のアプリ以外のアクセスをブロックする

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

• ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたは重大なアカウント。 万一、すべての管理者がロックアウトされるシナリオでは、緊急アクセス管理アカウントを使用してログインし、アクセスを回復するための手順を実行できます。
  • 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
• サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
  • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。

次のステップ

• 条件付きアクセスの What If ツールを使用してサインイン動作をシミュレートします。
• 条件付きアクセスのレポート専用モードを使用して、新しいポリシー決定の結果を判断します。