Поделиться через


条件付きアクセスの基本的な考え方

こんにちは、Azure & Identity サポート チームの栗井です。

この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。
 

条件付きアクセスの基本的な考え方は、アクセスを制限すること

条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。

基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」とイメージすると、分かりやすいかもしれません。

条件付きアクセスポリシーを 1つも設定していない場合や、それぞれのポリシーの「割り当て」で設定した対象に合致しない場合は、特に制限無くアクセスできる動作となります。

ポリシーの「割り当て」で設定した対象に合致した場合には、「アクセス制御」で設定した内容が適用されます。

例えば、アクセスがブロックされたり、あるいは 多要素認証が要求されるなど、アクセスするための制限が加わります。

 

条件付きアクセスのポリシーに、順序による優先順位はありません

条件付きアクセスポリシーを複数定義した場合、定義した順番 (画面表示上の上下) で優先順位はありません。

すべてのポリシーが評価対象であり、以下のように動作します。

  • どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされます。
  • 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。
  • どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。

 

条件付きアクセスのポリシーの設定とアクセス可否の図

以下に、条件付きアクセスのポリシーの設定とアクセス可否の関係を簡潔なチャートで示します。

1. ポリシーの「割り当て」に該当するか

最初に、ポリシーの割り当て対象に該当するかどうかが評価されます。
割り当て対象に該当しない場合は、アクセスは許可されます。
割り当て対象に該当する場合、以下の 2 の評価に続きます。

2. ポリシーの「アクセスのブロック」対象か「アクセス権の付与」対象か

すべてのポリシーには、「アクセスのブロック」「アクセス権の付与」のいずれかのコントロールが設定されています。
「アクセスのブロック」が設定されている場合、アクセスはブロックされます。
「アクセス権の付与」である場合、以下の 3 の評価に続きます。

3. 「アクセス権の付与」条件を満たすかどうか

「アクセス権の付与」のコントロールが設定されているポリシーでは、アクセス権の付与条件が少なくとも一つ以上設定されています。

この項目によって設定される条件を満たした場合、アクセスが許可されます。
条件を満たさない場合には、アクセスはブロックされます。

 

上記の 1 から 3 の評価を、すべてのポリシーに対して行います。
その中で、1つでもブロックの対象となるポリシーが存在する場合には、アクセスは許可されません。
すべてのポリシーで「割り当て」が対象外、あるいは「アクセス権の付与」条件を満たした場合にのみ、アクセスすることができます。
 

条件付きアクセスポリシー設定の例と挙動

以下に、主な設定例をいくつか示します。

ポリシーA

「全体管理者以外のすべてのユーザーに対して、いずれのクラウドアプリにログインする場合にも、スマートフォン (iOS、Android、Windows Phone) からのアクセスを禁止したい」場合の設定です。

 

ポリシーB

「特定のユーザーがアクセスする際に、多要素認証を要求したい」場合の設定です。

 

ポリシーA と B がどちらも適用されるアクセスの場合

「アクセス権をブロック」 は 「アクセス権を付与する」 よりも強力にはたらくため、ポリシーA と B がどちらも適用されるアクセスはブロックされます。

 

※ 注意

割り当て対象を「すべてのユーザー」「すべてのクラウドアプリ」といたしますと、管理者を含めてすべてのユーザーがポータルにアクセスできない状態となり、ポリシーを変更することもできない状況となります。
ポリシーを変更する管理者についてはアクセスできるように、対象外に該当のユーザーを登録してください。

 

関連サイト

条件付きアクセスに関する公式ドキュメントのリンクです。ぜひご覧ください。

Azure AD の条件付きアクセスのドキュメント

などの公式情報が公開されています。

 

Japan Azure Identity Support Blog :Azure AD の条件付きアクセスに関する Q&A

 

 

上記内容が少しでも参考となりますと幸いです。

製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供させていただきますので、ぜひ弊社サポート サービスをご利用ください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。