条件付きアクセスを使用すると、Azureが提供するアプリケーションへのきめ細やかなアクセス制御を実装できます。例えば、日本国内のみアクセスを許可したり社内ルールに準拠した端末のみアクセスを許可したりする事ができます。
このページでは、条件付きアクセスの一例として管理者アカウント(マイクロソフトアカウント含む)にも多要素認証を強制する方法を説明します。
設定次第では条件付きアクセスは全てのアカウントに適用されます。設定によっては管理者の権限も制限しえるので、全くのアクセス不能になるリスクがあります。設定には細心の注意を払って下さい。
事前準備
セキュリティの規定値群
「条件付きアクセス」を使用するにはAzureのセキュリティの規定値群を無効化する必要があります。無効化する方法は「条件付きアクセス (1/3) 日本国内のみに限定する設定例」を参照ください。
マイクロソフトアカウントの多要素認証無効化
Azureの初期セットアップの方法は大きく分けると以下の2つがあります。
- Office 365 -> Azure の順にサインアップ
- Azure -> Office 365 の順にサインアップ
「Azure -> Office 365 の順にサインアップ」の場合は、Azureに最初に作成されるアカウントは「マイクロソフトアカウント」と呼ばれるアカウントで他のアカウントとは権限が異なります。このページでは「マイクロソフトアカウント」の対応方法を前提として説明をします。
まずは、マイクロソフトアカウントで多要素認証を無効とする場合に接続を拒否する挙動を確認しますので、マイクロソフトアカウントに対する多要素認証を無効します。対要素認証はマイクロソフトアカウントの管理ページの「セキュリティ」タブから操作できます。
条件付きアクセスの設定
「Azure ポータル」をブラウザで開きます。「セキュリティ」「Azure AD 条件付きアクセス」の順に押下し、「Azure AD 条件付きアクセス」の画面を開きます。
「Azure AD 条件付きアクセス」の画面にて、「ポリシー」「新しいポリシー」「新しいポリシーを作成する」の順に押下します。
「名前」欄に分かりやすい名前を記入します。
「ユーザー」を指定します。万が一、管理者アカウントのアクセスを制限してしまうと復旧困難になりますので、慣れないうちは、管理者以外のアカウントに絞り込んでアクセス制限を打鍵してみましょう。
設定を誤るとAzureポータルが操作不能になります。不安な方は、復旧目的として管理者以外で「グローバル管理者」ロールを付与したアカウントを作成しておきましょう。
「クラウドアプリ」は「Microsoft Azure Management」を指定します。これはAzureを操作する画面を意味します。
「条件」はデフォルトのまま(すべて「未構成」)とします。
「許可」欄は「アクセス権を付与する」「対要素認証を要求する」を選びます。
「ポリシーの有効化」欄を「オン」に変更し、「作成」を押下します。
条件付きアクセスの動作確認
ログイン操作
失敗
多要素認証未設定の状態でアクセスを拒否される事を確認します。
「Azure ポータル」をブラウザで開き、管理者アカウント(マイクロソフトアカウント)のログイン情報を入力します。
パスワード以外の認証情報を求められる事を確認します。
成功
認証を成功させるために、マイクロソフトアカウントに対して多要素認証を有効にします。
「マイクロソフトアカウントの管理ページ」をブラウザで開きます。「セキュリティ」タブを押下します。
「セキュリティ」タブへ遷移したら、画面を下へスクロールさせます。
「2要素認証」欄の「有効化」を押下し、多要素認証を有効にします。
「Azure ポータル」をブラウザで開き、管理者アカウント(マイクロソフトアカウント)のログイン情報を入力します。
多要素認証の設定画面が現れる事を確認します。以降、多要素認証の手続きを完了させ、ログインできる事を確認します。
サインインログ
失敗
「Azure AD 条件付きアクセス」の画面で、「サインインログ」を押下します。その後、ログインに失敗したログを押下します。
「条件付きアクセス」タブにて、「ポリシー名(対要素認証強制)」を押下します。
「許可の制御」欄が「満足していない」と表示される事を確認します。
成功
ログインに成功したログを押下します。
「条件付きアクセス」タブにて、「ポリシー名(多要素認証強制)」を押下します。
「許可の制御」欄が「満足している」と表示される事を確認します。
