条件付きアクセスの基本的な考え方

こんにちは、Azure & Identity サポート チームの栗井です。 この記事では条件付きアクセスポリシー設定の基本的な考え方について解説します。   条件付きアクセスの基本的な考え方は、アクセスを制限すること 条件付きアクセスポリシーは、アクセスを許可する条件の設定ではなく、アクセスをブロック / または制限 (特定の条件を満たさなければブロック) する条件を設定します。 基本的にはすべてのアクセスが許可された状態で、「ブロック、もしくは制御したいアクセスパターンのブラックリストを作成する」とイメージすると、分かりやすいかもしれません。 条件付きアクセスポリシーを 1つも設定していない場合や、それぞれのポリシーの「割り当て」で設定した対象に合致しない場合は、特に制限無くアクセスできる動作となります。 ポリシーの「割り当て」で設定した対象に合致した場合には、「アクセス制御」で設定した内容が適用されます。 例えば、アクセスがブロックされたり、あるいは 多要素認証が要求されるなど、アクセスするための制限が加わります。   条件付きアクセスのポリシーに、順序による優先順位はありません 条件付きアクセスポリシーを複数定義した場合、定義した順番 (画面表示上の上下) で優先順位はありません。 すべてのポリシーが評価対象であり、以下のように動作します。 どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。   条件付きアクセスのポリシーの設定とアクセス可否の図 以下に、条件付きアクセスのポリシーの設定とアクセス可否の関係を簡潔なチャートで示します。 1. ポリシーの「割り当て」に該当するか 最初に、ポリシーの割り当て対象に該当するかどうかが評価されます。 割り当て対象に該当しない場合は、アクセスは許可されます。 割り当て対象に該当する場合、以下の 2 の評価に続きます。 2. ポリシーの「アクセスのブロック」対象か「アクセス権の付与」対象か すべてのポリシーには、「アクセスのブロック」「アクセス権の付与」のいずれかのコントロールが設定されています。 「アクセスのブロック」が設定されている場合、アクセスはブロックされます。 「アクセス権の付与」である場合、以下の 3 の評価に続きます。 3. 「アクセス権の付与」条件を満たすかどうか 「アクセス権の付与」のコントロールが設定されているポリシーでは、アクセス権の付与条件が少なくとも一つ以上設定されています。 この項目によって設定される条件を満たした場合、アクセスが許可されます。 条件を満たさない場合には、アクセスはブロックされます。   上記の 1 から 3…

0

“Baseline policy: Require MFA for admins” について

こんにちは、Azure ID チームの宮林です。 今回は下記のとおり、6/22 より Public Preview となった “Baseline policy: Require MFA for admins” についてお知らせいたします。   Baseline security policy for Azure AD admin accounts in public preview! https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/ ベースラインの保護とは (プレビュー) https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-baseline-protection   (こちらが対象のポリシーとなります)   “Baseline policy: Require MFA for admins” とは “Baseline policy: Require MFA for admins” は、特権ロールを持つアカウントに対して多要素認証 (MFA : Multi Factor Authentication) を必要とさせるポリシーです。将来的にすべての Azure…

0

Microsoft 365 を用いたゼロ トラスト ネットワークの実現

こんにちは、Azure & Identity サポート チームの田中と高田です。 本記事は、米国時間 2018年 6 月 14 日に公開された Building Zero Trust networks with Microsoft 365 の抄訳です。   従来の境界ベースのネットワーク制御は時代遅れとなりつつあります。 境界ベースのネットワークには、ネットワーク内のすべてのシステムが信頼できるという前提があります。 しかし、今日ますますモバイル ワーカーが増える中、パブリック クラウドサービスへの移行や BYOD (Bring Your Own Device) モデルの採用もあり、境界セキュリティの制御は意味をなさなくなってきています。従来有効とされていた制御方法を依然として使い続けているネットワークは、侵入に脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった一つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。 ゼロ トラスト ネットワークは、境界で囲まれたネットワークは信頼できるという考え方を用いません。 代わりに、ゼロ トラスト アーキテクチャは組織内のデータとリソースへのアクセスにデバイスおよびユーザーのクレーム情報を活用します。 一般的なゼロ トラスト ネットワークモデル (図 1) は通常、以下の要素で構成されます。 ユーザーおよびユーザー関連の情報を保持する ID プロバイダ 対応するデバイス情報 (デバイスの種類、整合性など) に基づいて、会社のリソースにアクセスできるデバイスのリストを保持するデバイス ディレクトリ ユーザーまたはデバイスがセキュリティ管理者によって設定されたポリシーに準拠しているかどうかを判断するポリシー評価サービス 組織リソースへのアクセスを許可または拒否する上記の方式を利用したプロキシ   図 1….

0

クレーム ルールと条件付きアクセスの比較

こんにちは、Azure & Identity サポート チームの坂井です。   今回は AD FS を利用したクレーム ルールとAzure AD を利用した条件付きアクセスについて比較します。 これまで AD FS のクレーム ルールでアクセス制御を実施しているが、条件付きアクセスの機能にも興味をお持ちの方も多いかと思います。 今後の運用においてクレーム ルールと条件付きアクセスのどちらで運用を行うか検討するにあたり少しでも本記事がお役に立ちましたら幸いです。   はじめに クレーム ルールと条件付きアクセスは、両者ともに指定した条件に応じて認証アクセスの制御を行うことができます。 例えば、多要素認証を発生させるための条件設定は、クレーム ルールでも条件付きアクセスでも可能です。   それぞれを利用する際に必要な前提条件は次のとおりです。   クレーム ルール AD FS 環境が必須です。 AD FS を利用した認証フローとなるため、認証についてはオンプレミス側で行います。   条件付きアクセス Azure AD 環境が必須です。 また、条件付きアクセスの利用には、利用するユーザー分 Azure AD Premium のライセンスが必要です。 AD FS が導入されている環境においても、条件付きアクセスを利用することが可能です。       コスト比較 まずは、重要となるコスト面について比較してみましょう。…

0

デバイス ベースのアクセス制御

こんにちは、Azure & Identity サポート チームの下野です。   今回は下記の 3 つについてご紹介します。   AD FS による証明書認証 AD FS によるデバイス認証 Azure AD によるデバイスベースの条件付きアクセス   昨今話題の働き方改革を実現する手段の一つとして、テレワークができる環境を整える – オフィス内で利用する端末だけでなく、会社支給の端末、モバイルデバイスなど多種多様なデバイスから企業のリソースにアクセスできるようにする – ということも有効だと思います。 それを検討する際に、管理者側で会社のリソースにアクセスできるデバイスを限定したいとのご要望をいただくことが多くあります。 そのような要望の実現を検討する際に、今回ご紹介させていただく内容が少しでもお役に立ちましたら幸いです。   ではまずは、それぞれの制御方法を説明します。   1. AD FS による証明書認証 Windows Server 2012 R2 (AD FS 3.0) 以降で利用可能となった、証明書を使用した認証方式です。 ユーザー証明書を各デバイスに配布して、モダン認証 (ADAL)に対応している多くのアプリケーションで利用します。 証明書認証を構成した際に正常に動作しないというケースでは、主に下記のようなポイントをチェックします。  証明書のサブジェクト代替名にユーザーの UPN が正しくセットされているか AD FS (または WAP) が信頼している証明機関から発行された証明書かどうか 証明書の有効期限が切れていないかどうか 証明書が、失効されていないかどうか…

0

Azure AD の条件付きアクセスに関する Q&A

こんにちは、Azure & Identity サポート チームの高田です。 今回はお問い合わせをよくいただく、Azure AD の条件付きアクセスについてです。 お問い合わせの多いご質問について、Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。     Q. Office 365 を利用しているが、条件付きアクセスを利用できますか? A. はい、利用可能です。Office 365 をご利用いただいているお客様は、認証基盤として Azure AD をご利用いただいている状態となります。そのため、追加で Azure AD Premium のライセンスを購入いただくことで、利用可能になります。     Q. Azure AD Application Proxy を利用して公開しているアプリケーションなども条件付きアクセスで制御可能でしょうか。 A. はい、条件付きアクセスで制御可能です。Azure AD 上に登録されているアプリケーションであれば、条件付きアクセスで制御できます。Azure AD Application Proxy を利用して公開しているアプリケーションやご自身で開発し Azure AD 上に登録したアプリケーションも制御対象とすることが可能です。     Q. Azure AD B2B コラボレーション機能により招待されたゲスト ユーザーに対して条件付きアクセスのルールを適用する場合には、Azure AD…

0