デバイス登録に多要素認証 (MFA) を要求する
条件付きアクセス ユーザー操作を使用して、ユーザーがデバイスを Microsoft Entra ID に登録または参加するときにポリシーを適用します。 このコントロールにより、現在存在するテナント全体のポリシーではなく、デバイスを登録するか参加させるための多要素認証をきめ細かく構成できます。 管理者は、組織のセキュリティ ニーズに合わせてこのポリシーをカスタマイズできます。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたは重大なアカウント。 万一、すべての管理者がロックアウトされるシナリオでは、緊急アクセス管理アカウントを使用してログインし、アクセスを回復するための手順を実行できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
- サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。
条件付きアクセス ポリシーを作成する
警告
外部認証方法を使用する場合、これらは現在認証強度と比較できないため、[多要素認証許可の要求] コントロールを使用する必要があります。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[ユーザー操作] で、[デバイスの登録または参加] を選択します。
- [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
- [ 認証強度が必要] を選択し、一覧から組 み込みの多要素認証の 認証強度を選択します。
- [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
警告
条件付きアクセス ポリシーが [デバイスの登録または参加] のユーザー操作で構成されている場合は、[ID]>[デバイス]>[概要]>[デバイス設定] - Require Multifactor Authentication to register or join devices with Microsoft Entra
を [いいえ] に設定する必要があります。 そうしないと、このユーザー操作による条件付きアクセス ポリシーが適切に適用されません。 このデバイス設定に関するより詳細な情報は、「デバイス設定の構成」に記載されています。
信頼されたネットワークと場所の外部でデバイスを登録または参加させるアクセスをブロックする
組織では、条件付きアクセス ポリシーに名前付き場所と呼ばれる 既知のネットワークの場所 を組み込むことを選択できます。 こうしたネームド ロケーションには、メイン オフィスの場所のような信頼された IP ネットワークを含めることができます。 ネームド ロケーションの構成の詳細については、Microsoft Entra 条件付きアクセスの場所条件の概要に関する記事を参照してください。
前のポリシー例に 加えて、組織は、次のポリシー例を 使用して、信頼できる IP ネットワークの場所にないデバイスを登録または参加するためのアクセス をブロックすることを選択できます。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[ユーザー操作] で、[デバイスの登録または参加] を選択します。
- [ネットワーク] の下:
- [はい] を構成します。
- 任意のネットワークまたは場所を含めます。
- 信頼できるすべてのネットワークと場所を除外します。
- [アクセス制御の>ブロック] で、[選択] を選択します。
- 設定を確認し、[ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。