条件付きアクセス ポリシーを使用してセキュリティ情報の登録を保護する
Microsoft Entra 多要素認証とセルフサービス パスワード リセットの登録をユーザーがいつどのように行うかについてのセキュリティ保護が、条件付きアクセス ポリシーのユーザー アクションを使用して可能になりました。 この機能は、統合された登録を有効にする組織で使用できます。 この機能により、組織は、条件付きアクセス ポリシー内のアプリケーションと同様に登録プロセスを処理し、条件付きアクセスの機能を最大限に活用してエクスペリエンスをセキュリティ保護できます。 Microsoft Authenticator アプリにサインインしているか、パスワードレスの電話によるサインインを有効にしているユーザーは、このポリシーの対象となります。
一部の組織では、これまで、登録エクスペリエンスをセキュリティ保護する手段として、信頼されたネットワークの場所またはデバイスのコンプライアンスを使用していた場合がありました。 Microsoft Entra ID に一時アクセス パスが追加されたことにより、管理者は、任意のデバイスや場所から登録できるように、時間制限のある資格情報をユーザーに提供できます。 一時アクセス パスの資格情報は、多要素認証の条件付きアクセス要件を満たしています。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
- サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。
テンプレートのデプロイ
組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレートを使用するかを選ぶことができます。
登録をセキュリティ保護するためのポリシーを作成する
次のポリシーは、統合された登録エクスペリエンスを使用して登録を試みる選択ユーザーに適用されます。 このポリシーでは、ユーザーが信頼できるネットワークの場所にいること、多要素認証を行うこと、または一時アクセス パスの資格情報を使用することが必要です。
警告
外部認証方法を使用する場合、現在は認証強度と互換性がないため、多要素認証を要求するという許可の制御を使用する必要があります。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- [名前] に、このポリシーの名前を入力します。 たとえば、「TAP での統合されたセキュリティ情報の登録」などです。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
[Include](含める) で、 [すべてのユーザー] を選択します。
警告
[統合された登録] に対してユーザーを有効にする必要があります。
[除外] で、次のようにします。
[すべてのゲストと外部ユーザー] を選択します。
Note
ゲスト ユーザーに対しては、一時アクセス パスは機能しません。
[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[ユーザー操作] で、[セキュリティ情報の登録] をオンにします。
- [条件]>[場所] で
- [構成] を [はい] に設定します。
- [任意の場所] を含めます。
- [すべての信頼できる場所] を除外します。
- [構成] を [はい] に設定します。
- [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
- [認証強度を要求する] を選択して、一覧から適切な組み込みの、またはカスタムの認証強度を選択します。
- [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
管理者は、新しいユーザーに対して一時アクセス パス資格情報を発行する必要があります。これにより、登録するための多要素認証の要件を満たすことができるようになります。 このタスクを実行する手順については、「Microsoft Entra 管理センターでの一時アクセス パスの作成」セクションを参照してください。
組織では、手順 8a の [多要素認証が必要] に加えて、またはその代わりに、他の許可制御の要求を選択することもできます。 複数の制御を選択する場合は、この変更を行うときに、選択した制御のすべてまたはいずれかを必要とするように、適切なオプション ボタンのトグルを選択してください。
ゲスト ユーザーの登録
ディレクトリで多要素認証への登録が必要なゲスト ユーザーについては、次のガイドを使用して、信頼されたネットワークの場所の外部からの登録をブロックすることを選択できます。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- [名前] に、このポリシーの名前を入力します。 たとえば、「信頼されたネットワーク上の統合されたセキュリティ情報の登録」など。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [含める] で、 [すべてのゲストと外部ユーザー] を選択します。
- [ターゲット リソース]>[ユーザー操作] で、[セキュリティ情報の登録] をオンにします。
- [条件]>[場所] で
- [はい] を構成します。
- [任意の場所] を含めます。
- [すべての信頼できる場所] を除外します。
- [アクセス制御]>[付与] で
- [アクセスのブロック] を選択します。
- 次に [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。