条件付きアクセス ポリシー テンプレート
条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法を提供します。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせて、最大限の保護を提供するように設計されています。
テンプレートのカテゴリ
条件付きアクセス ポリシー テンプレートは、次のカテゴリに分類されます。
Microsoft では、すべての組織のベースとして、これらのポリシーを推奨しています。 これらのポリシーはグループとして展開することをお勧めします。
これらのテンプレートは、Microsoft Entra 管理センター>保護>条件付きアクセス>テンプレートから新しいポリシーを作成するにあります。 [表示数を増やす] を選択して、各シナリオのすべてのポリシー テンプレートを表示します。
重要
条件付きアクセス テンプレート ポリシーは、ポリシーを作成しているユーザーのみをテンプレートから除外します。 組織で他のアカウントを除外する必要がある場合は、作成された後にポリシーを変更できます。 これらのポリシーは、Microsoft Entra 管理センター>保護>条件付きアクセス>ポリシー で確認できます。 ポリシーを選択してエディターを開き、除外されるユーザーとグループを変更して、除外するアカウントを選択します。
既定では、各ポリシーは レポート専用モード で作成されるため、意図した結果を得るために、各ポリシーを有効にする前に、組織で使用状況をテストおよび監視することをお勧めします。
組織は、個々のポリシー テンプレートを選択できるほか、次のことが可能です。
- ポリシー設定の概要を表示する。
- 組織のニーズに基づいてカスタマイズするために編集する。
- プログラムのワークフローで使用するために JSON 定義をエクスポートする。
- これらの JSON 定義は、編集した後、[ポリシー ファイルのアップロード] オプションを使用して、メインの [条件付きアクセス ポリシー] ページでインポートできます。
その他の一般的なポリシー
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
- サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。