Microsoft Entra ID の保護されたアクションとは
Microsoft Entra ID 内の保護されたアクションは、条件付きアクセス ポリシーが割り当てられているアクセス許可です。 ユーザーが保護されたアクションを実行しようとすると、まず、必要なアクセス許可に割り当てられている条件付きアクセス ポリシーを満たす必要があります。 たとえば、管理者が条件付きアクセス ポリシーを更新できるようにするには、フィッシング対策 MFA ポリシーを最初に満たすように要求することができます。
この記事では、保護されたアクションの概要と、それらの使用を開始する方法について説明します。
保護されたアクションを使用する理由
保護を強化する必要がある場合、保護されたアクションを使用します。 保護されたアクションは、使用されているロールや、ユーザーにアクセス許可が付与された方法に関係なく、強力な条件付きアクセス ポリシー保護を必要とするアクセス許可に適用できます。 ポリシーの適用は、ユーザーのサインインまたはルールのアクティブ化時ではなく、ユーザーが保護されたアクションを実行しようとするときに行われるため、必要な場合にのみユーザーにプロンプトが表示されます。
保護されたアクションで通常使用されるポリシー
すべてのアカウント、特に特権ロールを持つアカウントで、多要素認証を使用することをお勧めします。 保護されたアクションを使用して、追加のセキュリティを要求できます。 一般的でより強力な条件付きアクセス ポリシーを次に示します。
- パスワードレス MFA やフィッシング対策 MFA など、より強力な MFA 認証強度。
- 条件付きアクセス ポリシーのデバイス フィルターを使用した特権アクセス ワークステーション。
- 条件付きアクセスのサインイン頻度のセッション制御を使用した、セッション タイムアウトの短縮。
保護されたアクションで使用できるアクセス許可
条件付きアクセス ポリシーを限定されたアクセス許可のセットに適用できます。 保護されたアクションは、次の分野で使用できます。
- 条件付きアクセス ポリシーの管理
- テナント間アクセス設定の管理
- ネットワークの場所を定義するカスタム ルール
- 保護されたアクションの管理
最初のアクセス許可のセットを次に示します。
権限 | 説明 |
---|---|
microsoft.directory/conditionalAccessPolicies/basic/update | 条件付きアクセス ポリシーの基本プロパティを更新する |
microsoft.directory/conditionalAccessPolicies/create | 条件付きアクセス ポリシーを作成する |
microsoft.directory/conditionalAccessPolicies/delete | 条件付きアクセス ポリシーを削除する |
microsoft.directory/conditionalAccessPolicies/basic/update | 条件付きアクセス ポリシーの基本プロパティを更新する |
microsoft.directory/conditionalAccessPolicies/create | 条件付きアクセス ポリシーを作成する |
microsoft.directory/conditionalAccessPolicies/delete | 条件付きアクセス ポリシーを削除する |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | テナント間アクセス ポリシーの許可されたクラウド エンドポイントを更新する |
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 既定のテナント間アクセスポリシーの Microsoft Entra B2B コラボレーション設定を更新する |
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 既定のテナント間アクセスポリシーの Microsoft Entra B2B 直接接続設定を更新する |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 既定のテナント間アクセス ポリシーのクラウド間 Teams 会議設定を更新する |
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 既定のテナント間アクセス ポリシーのテナント制限を更新する |
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | パートナー向けテナント間アクセスポリシーの Microsoft Entra B2B コラボレーション設定を更新します。 |
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | パートナー向けテナント間アクセスポリシーの Microsoft Entra B2B 直接接続設定を更新します。 |
microsoft.directory/crossTenantAccessPolicy/partners/create | パートナーのテナント間アクセス ポリシーを作成します。 |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | パートナーのテナント間アクセス ポリシーのクラウド間 Teams 会議設定を更新します。 |
microsoft.directory/crossTenantAccessPolicy/partners/delete | パートナーのテナント間アクセス ポリシーを削除します。 |
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | パートナーのテナント間アクセス ポリシーのテナント制限を更新します。 |
microsoft.directory/namedLocations/basic/update | ネットワークの場所を定義するカスタム ルールの基本プロパティを更新する |
microsoft.directory/namedLocations/create | ネットワークの場所を定義するカスタム ルールを作成する |
microsoft.directory/namedLocations/delete | ネットワークの場所を定義するカスタム ルールを削除する |
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Microsoft 365 ロールベースのアクセス制御 (RBAC) リソース アクションの条件付きアクセス認証コンテキストを更新します |
保護されたアクションと Privileged Identity Management ロールのアクティブ化を比較する方法
Privileged Identity Management ロールのアクティブ化に、条件付きアクセス ポリシーを割り当てることもできます。 この機能を使用すると、ユーザーがロールをアクティブ化した場合にのみポリシーを適用でき、最も包括的な保護が提供されます。 保護されたアクションが適用されるのは、条件付きアクセス ポリシーが割り当てられたアクセス許可を必要とするアクションをユーザーが実行する場合のみです。 保護されたアクションを使用すると、ユーザー ロールに関係なく、影響の大きいアクセス許可を保護できます。 Privileged Identity Management ロールのアクティブ化と保護されたアクションを一緒に使用して、より強力なカバレッジを実現できます。
保護されたアクションを使用する手順
注意
保護されたアクションを適切に構成および適用するには、次の順序でこれらの手順を実行する必要があります。 この順序に従わないと、再認証を要求され続けるなど、予期しない動作が発生する場合があります。
アクセス許可を確認してください
条件付きアクセス管理者またはセキュリティ管理者のロールが割り当てられていることを確認します。 割り当てられていない場合は、管理者に問い合わせて適切なロールを割り当ててもらいます。
条件付きアクセス ポリシーの構成
条件付きアクセス認証コンテキストおよび関連する条件付きアクセス ポリシーを構成します。 保護されたアクションでは認証コンテキストが使用されます。これにより、Microsoft Entra のアクセス許可など、サービス内の細分化されたリソースに対するポリシーの適用が可能になります。 最初に、パスワードレス MFA を要求し、緊急アカウントを除外することをお勧めします。 詳細情報
保護されたアクションの追加
選択したアクセス許可に条件付きアクセス認証コンテキスト値を割り当てることで、保護されたアクションを追加します。 詳細情報
保護されたアクションのテスト
ユーザーとしてサインインし、保護されたアクションを実行してユーザー エクスペリエンスをテストします。 条件付きアクセス ポリシーの要件を満たすように求められます。 たとえば、ポリシーで多要素認証が必要な場合は、サインイン ページにリダイレクトされ、強力な認証を求められます。 詳細情報
保護されたアクションとアプリケーションはどうなりますか?
アプリケーションまたはサービスが保護アクションを実行しようとする場合、必要な条件付きアクセス ポリシーを処理できる必要があります。 場合によっては、ユーザーが介入してポリシーを満たす必要がある場合があります。 たとえば、多要素認証を完了するために必要な場合があります。 次のアプリケーションで保護されたアクションのステップアップ認証がサポートされます。
- Microsoft Entra 管理センターでのアクションに対する Microsoft Entra 管理者のエクスペリエンス
- Microsoft Graph PowerShell
- グラフ エクスプローラー
既知の制限事項と予想される制限事項がいくつかあります。 次のアプリケーションは、保護されたアクションを実行しようとすると失敗します。
- Azure PowerShell
- Azure AD PowerShell
- Microsoft Entra 管理センターにおける新しい使用条件ページまたはカスタム コントロールの作成。 新しい利用規約ページまたはカスタム コントロールは条件付きアクセスに登録されるため、条件付きアクセスの作成、更新、削除の保護アクションの影響を受けます。 条件付きアクセスの作成、更新、削除アクションからポリシー要件を一時的に削除すると、新しい利用規約ページまたはカスタム コントロールの作成が可能になります。
保護されたアクションを実行するために Microsoft Graph API を呼び出すアプリケーションが組織で開発されている場合は、ステップアップ認証を使用してクレーム チャレンジを処理する方法についてコード サンプルを確認する必要があります。 詳細については、「条件付きアクセス認証コンテキストに関する開発者ガイド」を参照してください。
ベスト プラクティス
保護されたアクションの使用に関するベスト プラクティスを次にいくつか示します。
緊急アカウントを持つ
保護されたアクションに対応するように条件付きアクセス ポリシーを構成する場合は、ポリシーから除外される緊急アカウントがあることを確認してください。 これにより、誤ったロックアウトに対する軽減策が提供されます。
ユーザーとサインイン リスク ポリシーを条件付きアクセスに移す
条件付きアクセスのアクセス許可は、Microsoft Entra ID Protection リスク ポリシーを管理するときに使用されません。 ユーザーとサインイン リスク ポリシーを条件付きアクセスに移すことをお勧めします。
名前付きのネットワークの場所を使用する
名前付きのネットワークの場所のアクセス許可は、多要素認証の信頼できる IP を管理するときに使用されません。 名前付きのネットワークの場所を使用することをお勧めします。
ID またはグループ メンバーシップに基づいてアクセスをブロックするために保護されたアクションを使用しない
保護されたアクションを実行するアクセス要件を適用するために、保護されたアクションが使用されます。 ユーザー ID またはグループ メンバーシップだけに基づくアクセス許可の使用をブロックするためのものではありません。 特定のアクセス許可にだれがアクセスできるかは承認の決定であり、ロールの割り当てによって制御する必要があります。
ライセンスの要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。