Azure Virtual Desktop への接続のための条件付きアクセス ポリシーを計画して実装する
アプリとリソースに関する組織のアクセス戦略を実現するために、条件付きアクセスのデプロイを計画することが重要です。
Azure Active Directory (Azure AD) の条件付きアクセスは、ユーザー、デバイス、場所などのシグナルを分析して、決定を自動化し、リソースに関する組織のアクセス ポリシーを適用します。 条件付きアクセス ポリシーを使用して、多要素認証 (MFA) などのアクセス制御を適用することができます。 条件付きアクセス ポリシーを使用すると、セキュリティのために必要な場合はユーザーに MFA を求め、不要な場合はユーザーに対して何も行わないようにすることができます。
Microsoft は、基本レベルのセキュリティを保証するセキュリティの既定値群と呼ばれる標準の条件付きポリシーを提供しています。 ただし、組織では、セキュリティの既定値群が提供する柔軟性よりも高い柔軟性が必要になる場合があります。 条件付きアクセスを使用すると、セキュリティの既定値群をより詳細にカスタマイズしたり、要件を満たす新しいポリシーを構成したりすることができます。
メリット
条件付きアクセスをデプロイする利点を次に示します。
- 生産性の向上。 MFA のようなサインイン条件でユーザーが中断されるのは、それが 1 つ以上のシグナルによって保証されている場合のみです。 条件付きアクセス ポリシーを使用すると、ユーザーに MFA を求めるプロンプトをいつ出すか、アクセスをいつブロックするか、ユーザーが信頼できるデバイスをいつ使用する必要があるかを制御できます。
- リスクの管理。 ポリシー条件を使用してリスク評価を自動化すると、危険なサインインがただちに特定され、修復またはブロックされます。 条件付きアクセスと ID 保護を組み合わせることで、異常および疑わしいイベントが検出され、リソースへのアクセスをいつブロックまたは締め出すかを制御できます。
- コンプライアンスとガバナンスへの対応。 条件付きアクセスを使用すると、アプリケーションへのアクセスを監査し、同意のための使用条件を提示し、コンプライアンス ポリシーに基づいてアクセスを制限できます。
- コスト管理。 アクセス ポリシーを Azure AD に移行することで、条件付きアクセスのためのカスタムまたはオンプレミスのソリューションへの依存度と、それらのインフラストラクチャのコストを削減できます。
前提条件
- Azure AD Premium または試用版ライセンスが有効になっていて、正常に動作している Azure AD テナント。
- 条件付きアクセスの管理者特権があるアカウント。
- パスワードがわかっている管理者以外のユーザー (testuser など)。
- 管理者以外のユーザーが所属するグループ。