条件付きアクセスを用いて Microsoft 365 へのアクセスを制御する
Microsoft 365 では、不正アクセスやセキュリティ対策が万全ではないデバイスからのアクセスを防ぐため「条件付きアクセス」が利用できます。
条件付きアクセスとは
Microsoft 365 にサインインする時に、ユーザーやデバイス、アクセスするクラウドサービスなどを条件として不要なアクセスをブロックする機能です。
条件付きアクセスは Azure AD Premium P1 ライセンスが必要です。Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Azure AD Premium P1 を追加契約することで利用できます。
条件付きアクセスの利用シナリオ
様々な条件を設定することでアクセスをブロックできます。
- 社内ネットワーク以外からのアクセスをブロックする
- ウイルス対策やスパム対策が行われていないデバイスからのアクセスをブロックする
- スマートフォンにおいて Outlook アプリ以外からメールを利用することをブロックする
- Exchange Online に対して IT 管理者が指定したアプリ以外のアクセスをブロックする
- 多要素認証が有効ではないユーザーのアクセスをブロックする
- レガシー認証のアプリを使ったアクセスをブロックする
レガシー認証とは、POP3 や IMAP4、SMTPなどの認証プロトコルや Office 2013 以前の Office アプリで利用されている認証方式です。多要素認証が利用できない認証方式であり、外部からの攻撃を受けやすいため、利用はお勧めしません。レガシー認証で受けるセキュリティ侵害についてはこちらを参照ください。
また条件付きアクセスでは、例外的にブロックをさせない事も可能であり、ブロック設定に [対象外] の設定を加えることで実現できます。例えば、「社内ネットワーク以外からのアクセスをブロックする」設定に、[対象外 : iOS 、Android デバイス] を加えることで、iOS と Android デバイスは社外ネットワークからのアクセスであっても Microsoft 365 にアクセスが可能となります。
組織で緊急アクセス用管理者アカウント (Break Glass Account) を用意している場合、必ず [対象外] アカウントとして設定してください。条件付きアクセスの設定をミスしてしまいすべてのユーザーが Microsoft 365 にアクセスできなくなった場合や災害などの緊急時に Microsoft 365 にアクセスするためです。緊急アクセス用管理者アカウントの詳細は以前のブログ記事 [Micrsoft 365 に緊急アクセス用管理者アカウントを準備する] でご紹介しています。
まとめ
Microsoft 365 は様々なデバイスから Web ブラウザーやアプリから利用できます。セキュリティ面を考慮するとどのような条件でアクセスを許可、ブロックするのかのルールを決めておく必要があります。今回紹介した条件付きアクセス機能でユーザーのアクセスコントロールをすることで、セキュリティリスクを低減しましょう。
・組織で利用する iOS/iPadOS デバイスを Microsoft Intune で管理する
・組織で利用する Android デバイスを Microsoft Intune で管理する
・Microsoft Intune で iOS/iPadOS デバイスの機能を制御する
・Microsoft Intune で Android デバイスの機能を制御する
・Microsoft Intune から iOS/iPadOS にアプリを自動配布する
・Microsoft Intune : iOS/iPadOS アプリのデータを保護する
・Microsoft Intune から Android にアプリを自動配布する
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!