Azure AD に条件付きアクセスを実装してセキュリティを強化する

Azure AD に条件付きアクセスを実装してセキュリティを強化する

2024 年 5 月 1 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Entra ID (旧称 Azure Active Directory) で条件付きアクセスを実装および最適化する方法をガイドすることを目的としています。条件付きアクセスは、Microsoft の主力ゼロトラスト ポリシー適用メカニズムであり、組織がユーザー ID、場所、デバイスの正常性、セッション リスクなどのリアルタイムの条件に基づいてリソースへのアクセスを制御できるようにします [1]。

はじめに

サイバー脅威が高度化し、リモートワークが普及している今日のセキュリティ環境では、従来のネットワーク境界保護ではもはや十分ではありません。 Azure AD 条件付きアクセスを使用すると、組織は静的なセキュリティ アプローチから、各アクセス試行が許可される前に評価される動的で適応的なアプローチに移行できます。これにより、特定の条件下で信頼できるユーザーとデバイスにのみアクセスが許可されるようになり、企業のデータとアプリケーションがより効果的に保護されます [2]。

この実用的なガイドでは、多要素認証 (MFA) の要求、サポートされているデバイス、信頼できる場所、レガシー認証のブロックなど、条件付きアクセス ポリシーの作成と構成について説明します。読者が組織のセキュリティ体制を実装および強化して、リソースへのアクセスが安全で準拠していることを確認できるように、段階的な手順、構成例、および検証方法が提供されます。

条件付きアクセスが重要なのはなぜですか?

  • ゼロトラスト: ゼロトラスト モデルを実装するためのポリシー エンジンであり、各アクセス要求を明示的に検証します。
  • 適応制御: アクセス ポリシーがリアルタイムのリスク信号に基づいて動的に適応できるようにします。
  • 包括的な保護: クラウドとオンプレミスの ID、デバイス、データ、アプリケーションを保護します。
  • MFA とデバイス コンプライアンス: MFA を適用し、アクセスに準拠したデバイスまたは Azure AD に参加しているデバイスを要求することが容易になります。
  • リスク軽減: 資格情報の盗難、未承認のデバイスからのアクセス、疑わしい場所からのアクセスなどのリスクを軽減します。

前提条件

Azure AD に条件付きアクセスを実装するには、次のものが必要です。

  1. ライセンス: Microsoft Enroll ID Premium P1 または P2 (以前の Azure AD Premium P1 または P2) ライセンス。条件付きアクセスは、これらのライセンスに固有の機能です [3]。
  2. 管理アクセス: Microsoft Entra 管理センター (「https://entra.microsoft.com」) の「条件付きアクセス管理者」、「セキュリティ管理者」、または「グローバル管理者」の役割を持つアカウント。
  3. ユーザーとグループ: ポリシーをテストするための Microsoft Entra ID のユーザーとセキュリティ グループ。
  4. 多要素認証 (MFA) の構成: MFA を必要とするポリシーの場合、ユーザーは MFA を構成および登録する必要があります。
  5. 管理対象デバイス (オプション): サポートされているデバイスまたは Azure AD/ハイブリッドに参加しているデバイスを必要とするポリシーの場合、デバイスは Microsoft Intune または Azure AD に参加しているによって管理される必要があります。

ステップバイステップ: 条件付きアクセス ポリシーの構成

セキュリティを強化するために、いくつかの重要な条件付きアクセス ポリシーを作成しましょう。

1. Microsoft Portal へのアクセス 管理センターに入ります

  1. ブラウザを開いて「https://entra.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 左側のナビゲーション ウィンドウで、保護 > 条件付きアクセス を選択します。

2. すべてのユーザーに MFA を要求するポリシーの作成 (緊急アカウントを除く)

これはほとんどの組織の基本ポリシーであり、緊急/非常用アクセス アカウントを除くすべてのアクセス試行に MFA が必要であることを保証します。

  1. [条件付きアクセス] ページで、[新しいポリシー] > [新しいポリシーの作成] をクリックします。
  2. 名前: 01 - すべてのユーザーに MFA が必要

  3. 割り当て > ユーザーまたはワークロードの識別:

    • [含める] で、[すべてのユーザー] を選択します。
    • 削除ユーザーとグループ を選択し、エマー アクセス アカウントを追加しますAgency/break-glass (MFA 障害またはディレクトリが使用できない場合にテナントにアクセスするために使用できる、高度に保護されたアカウント)。

  4. クラウド リソースまたはアクション:

    • 含めるで、すべてのクラウド アプリを選択します。

  5. 許可:

    • [アクセスを許可] を選択します。
    • 多要素認証が必要 をオンにします。
    • [選択] をクリックします。

  6. ポリシーを有効にする: 「レポートのみ」(適用前に影響をテストするため) または「有効」を選択します。

    • ヒント: ポリシーを適用せずにポリシーの影響を監視するには、必ず「レポートのみ」から開始して、不要なブロックの可能性がある入力ログをチェックしてください。
  7. [作成] をクリックします。

3. 従来の認証をブロックするポリシーの作成

従来の認証 (POP、IMAP、SMTP、基本認証など) は MFA をサポートしておらず、攻撃の一般的なベクトルです。それをブロックすることが重要です。

  1. [条件付きアクセス] ページで、[新しいポリシー] > [新しいポリシーの作成] をクリックします。
  2. 名前:「02 - レガシー認証のブロック」。
  3. 割り当て > ユーザーまたはワークロードの識別: すべてのユーザー (緊急アカウントを除く) を選択します。
  4. クラウド リソースまたはアクション: すべてのクラウド アプリケーションを選択します。

  5. 条件 > クライアント アプリケーション:

    • 「クライアント アプリケーション」を「はい」に設定します。
    • 「Exchange ActiveSync クライアント」と「その他のクライアント」にチェックを入れます。

  6. アクセス制御 > 許可:

    • [アクセスをブロック] を選択します。
    • [選択] をクリックします。

  7. ポリシーを有効にする: 「レポートのみ」または「有効」を選択します。

  8. [作成] をクリックします。

4. 重要なアプリケーションへのアクセスに互換性のあるデバイスを要求するポリシーの作成

このポリシーにより、セキュリティ標準を満たすデバイス (たとえば、Intune によって管理される) のみが機密性の高いアプリにアクセスできるようになります。

  1. [条件付きアクセス] ページで、[新しいポリシー] > [新しいポリシーの作成] をクリックします。
  2. 名前: 「03 - 重要なアプリケーションには互換性のあるデバイスが必要」。
  3. 割り当て > ユーザーまたはワークロードの識別: すべてのユーザー (または特定のグループ) を選択します。

  4. クラウド リソースまたはアクション:

    • 含める で、アプリケーションの選択 を選択し、重要なアプリケーション (SharePoint Online、Dynamics 365、基幹業務アプリケーションなど) を選択します。

  5. 許可:

    • [アクセスを許可] を選択します。
    • デバイスをサポート対象としてマークする必要がある をオンにします。
    • [選択] をクリックします。

  6. ポリシーを有効にする: 「レポートのみ」または「有効」を選択します。

  7. [作成] をクリックします。

5. 信頼できない場所からのアクセスをブロックするポリシーの作成

このポリシーは、攻撃元として知られている地理的地域または IP アドレスからのアクセスを防ぐのに役立ちます。

  1. まず、Azure AD で 名前付きロケーション (名前付きロケーション) を作成し、信頼できる場所 (会社のオフィス、VPN など) を定義する必要があります。

    • Microsoft ログイン管理センターで、保護 > 条件付きアクセス > 名前付き場所 に移動します。
    • [新しい国/地域の場所] または [新しい IP 範囲の場所] をクリックして、信頼できる場所を設定します。

  2. [条件付きアクセス] ページで、[新しいポリシー] > [新しいポリシーの作成] をクリックします。

  3. 名前: 「04 - 信頼できない場所からのアクセスをブロックする」。
  4. 割り当て > ユーザーまたはワークロードの識別: すべてのユーザーを選択します。
  5. クラウド リソースまたはアクション: すべてのクラウド アプリケーションを選択します。

  6. 条件 > 場所:

    • 「場所」を「はい」に設定します。
    • [含める] で、[任意の場所] を選択します。
    • 除外 で、選択した場所 を選択し、信頼できるものとして定義した「名前付き場所」を選択します。

  7. アクセス制御 > 許可:

    • [アクセスをブロック] を選択します。
    • [選択] をクリックします。
  8. ポリシーを有効にする: 「レポートのみ」または「有効」を選択します。
  9. [作成] をクリックします。

検証とテスト

条件付きアクセス ポリシーを検証することは、条件付きアクセス ポリシーが期待どおりに機能し、不要なブロックを引き起こさないことを確認するために重要です。

1. 「What If」ツールの使用

「What If」ツールを使用すると、特定のユーザーまたはシナリオに対する条件付きアクセス ポリシーの影響をシミュレートできます。

  1. [条件付きアクセス] ページで、そしてもし
  2. テスト シナリオ (ユーザー、アプリケーション、IP アドレス、デバイスなど) を設定します。
  3. [What if] をクリックして、適用されるポリシーとその結果 (アクセスの許可またはブロック) を確認します。

2. 入力ログの確認

受信ログには、どの条件付きアクセス ポリシーが評価されたか、その結果など、各アクセス試行に関する詳細情報が提供されます。

  1. Microsoft ログイン管理センターで、監視と正常性 > 受信ログ に移動します。
  2. ユーザー、アプリケーション、またはステータス (「失敗」など) ごとにログをフィルタリングして、アクセス試行を調査します。
  3. ログ エントリをクリックすると、適用されたポリシーと結果を示す [条件付きアクセス] タブなどの詳細が表示されます。

3. テスト ユーザーによる実際のテスト

さまざまなシナリオ (信頼できない場所からのアクセス、サポートされていないデバイスによるアクセス、MFA なしなど) でテスト ユーザーを使用してテストを実施し、ポリシーの予想される動作を確認します。

セキュリティのヒントとベスト プラクティス

  • 慎重な計画: 組織のニーズとゼロトラストの原則に基づいて、条件付きアクセス ポリシーを計画します。小さなポリシー セットから始めて、徐々に拡張していきます。
  • **レポート専用モード: 新しいポリシーを有効モードで適用する前に、必ず最初にレポート専用モードで展開してその影響を評価し、調整します。
  • 緊急アカウント: 偶発的なロックアウトを避けるために、すべての条件付きアクセス ポリシーから緊急/ブレークグラス アクセス アカウントを常に除外します。
  • レガシー認証のブロック: これは、攻撃対象領域を減らすための最も効果的なポリシーの 1 つです。
  • すべてのユーザーに MFA を要求する: ID を保護するために不可欠なポリシー。
  • 管理対象デバイス: 機密リソースにアクセスするには、デバイス (Azure AD に参加しているか、Intune が有効になっている) を管理する必要があります。
  • 名前付きの場所: 名前付きの場所を使用して、信頼できるネットワークを定義し、信頼できない場所からのアクセスをブロックします。
  • 継続的な見直しと調整: 条件付きアクセス ポリシーを定期的に見直して調整し、脅威環境やビジネス要件の変化に適応します。
  • ドキュメント: 条件付きアクセス ポリシーの目的、範囲、除外事項を含む明確なドキュメントを維持します。

一般的なトラブルシューティング

  • 予期せずブロックされたユーザー: 「What If」ツールとサインイン ログを使用して、ブロックの原因となっているポリシーを特定します。ポリシーの包含と除外を確認します。
  • ポリシーが適用されていない: ポリシーが「有効」モードであること、およびユーザーとアプリケーションがポリシーの範囲内にあることを確認してください。入力ログをチェックして、ポリシーが評価されたかどうかを確認します。
  • MFA の問題: ユーザーが MFA メソッドを登録していることを確認してください。 MFA プロバイダーとの接続の問題を確認します。
  • 準拠デバイスの問題: Intune でデバイスの準拠状態を確認します。デバイスが Azure AD に参加しているか、Intune に登録されていることを確認してください。
  • ポリシーの競合: 条件付きアクセスはすべてのポリシーを評価し、最も制限の厳しいポリシーを適用します。矛盾するポリシーがある場合は、目的の動作が保証されるようにそれらを調整します。

結論

Azure AD での条件付きアクセスの実装は、ゼロ トラスト モデルに基づいた堅牢で適応性のあるセキュリティ アーキテクチャを構築するための基本的な柱です。条件付きアクセスは、組織がさまざまな条件に基づいて詳細なアクセス ポリシーを設定できるようにすることで、サイバー脅威に対する ID とリソースの保護を大幅に強化します。戦略的なポリシー構成と、厳格なテストおよび継続的なレビューと最適化のサイクルを組み合わせることで、セキュリティ チームはアクセスが常に検証され、最小限の権限が与えられ、リスク コンテキストに適応されるようになります。条件付きアクセスを使用すると、企業は最も貴重な資産を保護しながら、ユーザーがどこからでも、どのデバイスでも安全かつ生産的に作業できるようにすることができます。

参考文献:

[1] Microsoft Learn。 条件付きアクセスとは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Learn。 条件付きアクセスの実装を計画します。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn。 条件付きアクセスのライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements