条件付きアクセス (1/3) 日本国内のみに限定する設定例

2022.03.21
スポンサーリンク

条件付きアクセスを使用すると、Azureが提供するアプリケーションへのきめ細やかなアクセス制御を実装できます。例えば、日本国内のみアクセスを許可したり社内ルールに準拠した端末のみアクセスを許可したりする事ができます。

このページでは、条件付きアクセスの一例として自宅以外や日本国外からのアクセスを禁止する設定例を紹介します。

設定次第では条件付きアクセスは全てのアカウントに適用されます。設定によっては管理者の権限も制限しえるので、全くのアクセス不能になるリスクがあります。設定には細心の注意を払って下さい。

関連記事 : Azure 内部統制 : 無償枠
関連記事 : Azure 内部統制 : 検証ライセンス発行
  • Azure Active Directory プレミアムライセンスの試用
  • Azure EMS(Enterprise Mobility + Security)ライセンスの試用
  • Azure MS365ライセンスの試用
    • 関連記事 : Azure 内部統制 : 要有償ライセンス
  • Azure AD Connect Health
  • 企業用ログインページのカスタマイズ
  • Azure AD パスワードリセット セルフサービス
  • Azure AD 動的グループ
  • Azure PIM (Privileged Identity Management) – Azure AD ロールの適用
  • Azure PIM (Privileged Identity Management) – Azure リソースの適用
  • Azure AD Identiry Protection
  • Windows端末 intuneデバイス登録
  • Windows端末 intune構成プロファイル
  • Windows端末 intune 更新リング
  • Windows端末 intune アプリの更新
  • Windows端末 intune コンプライアンスポリシーの定義
  • 条件付きアクセス (1/3) 日本国内のみに限定する設定例 (いまここ)
  • 条件付きアクセス (2/3) 管理者に対する多要素認証
  • 条件付きアクセス (3/3) コンプライアンスポリシーの併用

    • 事前準備

    「条件付きアクセス」を使用するにはAzureのセキュリティの規定値群を無効化する必要があります。

    Azure ポータル」をブラウザで開きます。「ID」「Azure Active Directory」の順に押下し、「Azure Active Directory」の画面を開きます。

    セキュリティの規定値群の有効化 01

    「プロパティ」「セキュリティの規定値群の管理」の順に押下し、「セキュリティの規定値群の有効化」を「いいえ」に変更します。「品質向上のために…」のアンケートに回答し「保存」を押下します。

    セキュリティの規定値群の有効化 02

    条件付きアクセスの設定

    ネームドロケーション

    日本国内や自宅のみにアクセスを限定するには、場所を表す「ネームドロケーション」と呼ばれる設定を事前に作成する必要があります。

    「セキュリティ」「Azure AD 条件付きアクセス」の順に押下し、「Azure AD 条件付きアクセス」の画面を開きます。

    ネームドロケーション 01

    「日本」を示すネームドロケーションを作成するには、「ネームドロケーション」「国の場所」の順に選択します。「名前」に何か分かりやすい名称を記入し、「日本」を選択した状態で、「作成」を押下します。

    ネームドロケーション 02

    「自宅」を示すネームドロケーションを作成するには、「ネームドロケーション」「IP範囲の場所」の順に選択します。「名前」に何か分かりやすい名称を記入し、IPv4アドレスまたはIPv6アドレスをCIDR形式(XX.XX.XX.XX/32)で指定し、「作成」を押下します。

    ネームドロケーション 03

    ポリシー作成

    「Azure AD 条件付きアクセス」の画面にて、「ポリシー」「新しいポリシー」「新しいポリシーを作成する」の順に押下します。

    条件付きアクセスのポリシー作成 01

    「名前」欄に分かりやすい名前を記入します。

    条件付きアクセスのポリシー作成 02

    「ユーザー」を指定します。万が一、管理者アカウントのアクセスを制限してしまうと復旧困難になりますので、慣れないうちは、管理者以外のアカウントに絞り込んでアクセス制限を打鍵してみましょう。

    条件付きアクセスのポリシー作成 03

    「クラウドアプリ」は「Microsoft Azure Management」を指定します。これはAzureを操作する画面を意味します。

    条件付きアクセスのポリシー作成 04

    「条件」「場所」を指定します。「対象外」として「自宅」を指定します。このような指定にすることで、自宅以外を拒否します。

    少しややこしいですが、「条件付きアクセス」は特定のルールに合致しない場合は許可されるブラックリスト形式の運用になります。そのため、「自宅を許可する」ではなく「自宅以外を拒否する」というルールを設ける必要があります。

    この画面で「自宅」ではなく「日本」を指定すると、日本以外のアクセスを拒否する設定が作成されます。

    条件付きアクセスのポリシー作成 05

    「許可」欄は「アクセスのブロック」を選びます。

    条件付きアクセスのポリシー作成 06

    「ポリシーの有効化」欄を「オン」に変更し、「作成」を押下します。

    条件付きアクセスのポリシー作成 07

    条件付きアクセスの動作確認

    ログイン操作

    成功

    自宅から「Azure ポータル」を開ける事を確認します。自宅にて認証情報を入力します。

    ログイン成功時のスクリーンショット 01

    ポータルの画面が表示される事を確認します。

    ログイン成功時のスクリーンショット 02

    失敗

    自宅以外から「Azure ポータル」への接続を試みます。認証情報を入力します。

    ログイン失敗時のスクリーンショット 01

    アクセス不能の旨のメッセージが表示される事を確認します。

    ログイン失敗時のスクリーンショット 02

    サインインログ

    成功

    「Azure AD 条件付きアクセス」の画面で、「サインインログ」を押下します。その後、ログインに成功したログを押下します。

    サインインログ 01

    「条件付きアクセス」タブにて、「ポリシー名(自宅外アクセス禁止)」を押下します。

    条件付きアクセスは「暗黙の許可」のルールです。スクリーンショットでは1つのポリシーしかない例を示していますが、複数ポリシーが存在し、全てのポリシーが「適用されません」と表示される場合は「許可」の挙動になります。

    サインインログ 02

    「場所」に着目します。ルールは「自宅(103.5.142.120/32)以外」に対し、実通信は「103.5.142.120」です。この場合は「合致しない」ので「拒否ルール」は適用されません。すなわち、アクセスは成功します。

    サインインログ 03

    失敗

    ログインに失敗したログを押下します。

    サインインログ 04

    「条件付きアクセス」タブにて、「ポリシー名(自宅外アクセス禁止)」を押下します。

    サインインログ 05

    「場所」に着目します。ルールは「自宅(103.5.142.120/32)以外」に対し、実通信は「133.106.78.216」です。この場合は「合致する」ので「拒否ルール」は適用されます。すなわち、アクセスは失敗します。

    サインインログ 06

    タイトルとURLをコピーしました