Microsoft Entra ID の保護されたアクションとは
Microsoft Entra ID の保護されたアクションは、条件付きアクセス ポリシーに割り当てられている権限です。 ユーザーが保護されたアクションを実行しようとすると、まず、必要なアクセス許可に割り当てられている条件付きアクセス ポリシーを満たす必要があります。 たとえば、管理者が条件付きアクセス ポリシーを更新できるようにするには、最初にフィッシング詐欺に強い MFA ポリシー 満たす必要があります。
この記事では、保護されたアクションの概要と、それらの使用を開始する方法について説明します。
保護されたアクションを使用する理由
保護のレイヤーを追加する場合は、保護されたアクションを使用します。 保護されたアクションは、使用されているロールやユーザーにアクセス許可が与えられた方法に関係なく、強力な条件付きアクセス ポリシー保護を必要とするアクセス許可に適用できます。 ポリシーの適用は、ユーザーがユーザーのサインインまたはルールのアクティブ化中ではなく、保護されたアクションを実行しようとしたときに行われるため、ユーザーは必要な場合にのみプロンプトが表示されます。
保護されたアクションで通常使用されるポリシーは何ですか?
すべてのアカウント (特に特権ロールを持つアカウント) で多要素認証を使用することをお勧めします。 保護されたアクションを使用して、追加のセキュリティを要求できます。 一般的な強力な条件付きアクセス ポリシーを次に示します。
- パスワードレス MFA やフィッシングに強い MFA など、より強力な MFA 認証の強度
- 特権アクセスワークステーションは、条件付きアクセスポリシーとデバイスフィルターを使用して管理されます。
- 条件付きアクセス サインイン頻度セッション制御を使用して、セッションタイムアウトを短縮。
保護されたアクションで使用できるアクセス許可は何ですか?
条件付きアクセス ポリシーは、制限されたアクセス許可のセットに適用できます。 保護されたアクションは、次の領域で使用できます。
- 条件付きアクセス ポリシーの管理
- テナント間アクセス設定の管理
- 一部のディレクトリ オブジェクトのハード削除
- ネットワークの場所を定義するカスタム ルール
- 保護されたアクション管理
アクセス許可の初期セットを次に示します。
| 許可 | 説明 |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | 条件付きアクセス ポリシーの基本プロパティを更新する |
| microsoft.directory/conditionalAccessPolicies/create | 条件付きアクセス ポリシーを作成する |
| microsoft.directory/conditionalAccessPolicies/delete (条件付きアクセス ポリシー削除) | 条件付きアクセス ポリシーを削除する |
| microsoft.directory/conditionalAccessPolicies/basic/update | 条件付きアクセス ポリシーの基本プロパティを更新する |
| microsoft.directory/conditionalAccessPolicies/create | 条件付きアクセス ポリシーを作成する |
| microsoft.directory/conditionalAccessPolicies/delete | 条件付きアクセス ポリシーを削除する |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | テナント間アクセス ポリシーの許可されたクラウド エンドポイントを更新する |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 既定のテナント間アクセス ポリシーの Microsoft Entra B2B コラボレーション設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 既定のテナント間アクセス ポリシーの Microsoft Entra B2B 直接接続設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 既定のクロステナントアクセスポリシーのクロスクラウド Teams 会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 既定のテナント間アクセス ポリシーのテナント制限を更新します。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | パートナーのテナント間アクセス ポリシーの Microsoft Entra B2B コラボレーション設定を更新します。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | パートナー向けのテナント間アクセス ポリシーの Microsoft Entra B2B 直接接続設定を更新します。 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | パートナーのテナント間アクセス ポリシーを作成します。 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | パートナーのテナント間アクセスポリシーのクロスクラウド Teams 会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | パートナーのテナント間アクセス ポリシーを削除します。 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | パートナーのテナント間アクセスポリシーのテナント制限を更新します。 |
| microsoft.directory/deletedItems/delete | 復元できなくなったオブジェクトを完全に削除する |
| microsoft.directory/namedLocations/basic/update | ネットワークの場所を定義するカスタム 規則の基本プロパティを更新する |
| microsoft.directory/namedLocations/create | ネットワークの場所を定義するカスタム ルールを作成する |
| microsoft.directory/namedLocations/delete | ネットワークの場所を定義するカスタム ルールを削除する |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Microsoft 365 ロールベースのアクセス制御 (RBAC) リソース アクションの条件付きアクセス認証コンテキストを更新する |
ディレクトリ オブジェクトの削除
Microsoft Entra ID では、ほとんどのディレクトリ オブジェクトに対して、論理的な削除とハード削除という 2 種類の削除がサポートされています。 ディレクトリ オブジェクトが論理的に削除されると、そのオブジェクトのプロパティ値とリレーションシップはごみ箱に 30 日間保持されます。 論理的に削除されたオブジェクトは、同じ ID とすべてのプロパティ値とリレーションシップをそのまま使用して復元できます。 論理的に削除されたオブジェクトがハード削除されると、オブジェクトは完全に削除され、同じオブジェクト ID で再作成することはできません。
ごみ箱からソフト削除されたディレクトリ オブジェクトが偶発的または悪意のあるハード削除や永続的なデータ損失から保護されるようにするため、次のアクセス許可に保護アクションを追加できます。 この削除は、ユーザー、Microsoft 365 グループ、アプリケーションに適用されます。
- microsoft.directory/削除済みアイテム/削除
保護されたアクションと Privileged Identity Management ロールのアクティブ化の比較
Privileged Identity Management ロールのアクティブ化 には、条件付きアクセス ポリシーを割り当てることもできます。 この機能を使用すると、ユーザーがロールをアクティブ化した場合にのみポリシーを適用でき、最も包括的な保護が提供されます。 保護されたアクションは、条件付きアクセス ポリシーが割り当てられているアクセス許可を必要とするアクションをユーザーが実行した場合にのみ適用されます。 保護されたアクションを使用すると、ユーザー ロールに関係なく、影響の大きいアクセス許可を保護できます。 Privileged Identity Management ロールのアクティブ化と保護されたアクションを一緒に使用して、より強力なカバレッジを実現できます。
保護されたアクションを使用する手順
手記
保護されたアクションが適切に構成され、適用されるようにするには、次の順序でこれらの手順を実行する必要があります。 この順序に従わないと、を再認証する要求を繰り返し受け取るなど、予期しない動作が発生する可能性があります。
アクセス許可を確認する
条件付きアクセス管理者 または セキュリティ管理者 のロールが割り当てられていることを確認します。 そうでない場合は、管理者に確認して適切なロールを割り当てます。
条件付きアクセス ポリシー を構成する
条件付きアクセス認証コンテキストと、関連付けられている条件付きアクセス ポリシーを構成します。 保護されたアクションは認証コンテキストを使用します。これにより、Microsoft Entra のアクセス許可など、サービス内のきめ細かなリソースに対するポリシーの適用が可能になります。 最初に、パスワードなしの MFA を要求し、緊急アカウントを除外することをお勧めします。 詳細情報
保護されたアクション を追加する
選択したアクセス許可に条件付きアクセス認証コンテキスト値を割り当てることで、保護されたアクションを追加します。 詳細情報
保護されたアクション をテストする
ユーザーとしてサインインし、保護されたアクションを実行してユーザー エクスペリエンスをテストします。 条件付きアクセス ポリシーの要件を満たすように求められます。 たとえば、ポリシーで多要素認証が必要な場合は、サインイン ページにリダイレクトされ、強力な認証を求められます。 詳細情報
保護されたアクションとアプリケーションはどうなりますか?
アプリケーションまたはサービスが保護アクションを実行しようとすると、必要な条件付きアクセス ポリシーを処理できる必要があります。 場合によっては、ユーザーが介入してポリシーを満たす必要がある場合があります。 たとえば、多要素認証を完了するために必要な場合があります。 次のアプリケーションでは、保護されたアクションのステップアップ認証がサポートされています。
既知の制限事項と予想される制限事項がいくつかあります。 次のアプリケーションは、保護されたアクションを実行しようとすると失敗します。
- Azure PowerShell
- Azure AD PowerShell
- 新しい 使用条件 ページを作成するか、Microsoft Entra 管理センターで カスタム コントロール を作成します。 新しい利用規約ページまたはカスタム コントロールは条件付きアクセスに登録されるため、条件付きアクセスによる保護されたアクションの作成、更新、削除の対象となります。 条件付きアクセスの作成、更新、および削除アクションからポリシー要件を一時的に削除すると、新しい利用規約ページまたはカスタム コントロールを作成できます。
組織で Microsoft Graph API を呼び出して保護されたアクションを実行するアプリケーションを開発している場合は、ステップアップ認証を使用して要求チャレンジを処理する方法のコード サンプルを確認する必要があります。 詳細については、「条件付きアクセス認証コンテキストの に関する開発者ガイド参照してください。
ベスト プラクティス
保護されたアクションを使用するためのベスト プラクティスを次に示します。
緊急アカウント がある
保護されたアクションに対して条件付きアクセス ポリシーを構成する場合は、ポリシーから除外される緊急アカウントがあることを確認してください。 これにより、偶発的なロックアウトに対する軽減策が提供されます。
ユーザーとサインインのリスク ポリシーを条件付きアクセス に移動する
条件付きアクセスのアクセス許可は、Microsoft Entra ID Protection リスク ポリシーを管理するときに使用されません。 ユーザーとサインインのリスク ポリシーを条件付きアクセスに移行することをお勧めします。
名前付きネットワークの場所を使用する
多要素認証の信頼できる IP を管理する場合、名前付きネットワークの場所のアクセス許可は使用されません。 名前付きのネットワークの場所を使用することをお勧めします。
保護されたアクションを使用して、ID またはグループ メンバーシップの に基づいてアクセスをブロックしない
保護されたアクションは、保護されたアクションを実行するためのアクセス要件を適用するために使用されます。 ユーザー ID またはグループ メンバーシップのみに基づいてアクセス許可の使用をブロックすることを目的としていません。 特定のアクセス許可にアクセスできるユーザーは承認の決定であり、ロールの割り当てによって制御する必要があります。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra IDの一般公開機能を比較する」を参照してください。
次の手順
- Microsoft Entra ID で保護されたアクションを追加、テスト、または削除する