条件付きアクセスとは
条件付きアクセス(Conditional Access)は、Microsoft Entra IDの機能で、「誰が」「どのデバイスから」「どこから」「何にアクセスするか」に基づいてアクセスを制御するゼロトラストの中核技術です。Microsoft 365 Business PremiumのEntra ID P1で利用できます。
設計パターン集
パターン1:MFA必須(全ユーザー)
| 条件 | 設定 |
|---|---|
| 対象ユーザー | すべてのユーザー |
| 対象アプリ | すべてのクラウドアプリ |
| アクセス制御 | MFAを要求 |
最も基本的なポリシー。すべてのアクセスにMFAを必須化します。
パターン2:会社管理デバイスのみアクセス許可
| 条件 | 設定 |
|---|---|
| 対象ユーザー | すべてのユーザー |
| デバイスの状態 | Intune準拠デバイスのみ |
| アクセス制御 | 準拠デバイスを要求 |
個人デバイスからのアクセスをブロックし、会社管理のPC・スマホのみ許可します。
パターン3:個人デバイスはブラウザのみ(ダウンロード禁止)
| 条件 | 設定 |
|---|---|
| 対象ユーザー | すべてのユーザー |
| デバイスの状態 | Intune非準拠デバイス |
| セッション制御 | アプリの条件付きアクセス制御を使用(ダウンロード禁止) |
BYODを許可しつつ、データの持ち出しを防止する設計です。
パターン4:海外アクセスのブロック
| 条件 | 設定 |
|---|---|
| 対象ユーザー | すべてのユーザー(海外出張者を除外) |
| 場所 | 日本以外のすべての国 |
| アクセス制御 | ブロック |
パターン5:リスクベースのアクセス制御
| 条件 | 設定 |
|---|---|
| サインインリスク | 中以上 |
| アクセス制御 | MFAを要求+パスワード変更を要求 |
Entra ID Protection(P2ライセンス)が必要ですが、不審なサインインを自動検知して追加認証を要求する高度な制御です。
パターン6:管理者アカウントの強化
| 条件 | 設定 |
|---|---|
| 対象ユーザー | グローバル管理者、Exchange管理者等の特権ロール |
| アクセス制御 | MFA必須+準拠デバイス必須+セッション有効期間を短縮(1時間) |
設計のコツ
- レポート専用モードで事前検証:本番適用前にレポート専用モードでポリシーの影響を確認
- 緊急アクセス用アカウント:条件付きアクセスの設定ミスで全員ロックアウトされるのを防ぐため、MFA除外の緊急アカウントを1つ用意
- シンプルに始める:最初はパターン1(MFA必須)から始め、段階的にパターンを追加
まとめ
条件付きアクセスはゼロトラストの中核です。MFA必須→デバイス信頼性→場所制限→リスクベースの順に段階的に導入しましょう。