クラウド利用が当たり前になった今、「誰でも、どこからでもアクセスできる」便利さの裏には、セキュリティリスクが潜んでいます。そこで登場するのが Microsoft Entra IDの条件付きアクセス。
「ゼロトラストって難しそう…」と思っている方も、条件付きアクセスはその第一歩にぴったりです。
条件付きアクセスって何?
簡単に言うと、ユーザーやデバイスの状態に応じてアクセスを制御する仕組みです。
「社外からアクセスするならMFA必須」「管理されていないデバイスはNG」など、状況に応じて柔軟にポリシーを設定できます。
ゼロトラストの考え方に沿って、「信頼しない、常に確認する」を実現するための重要な機能です。
よくあるシナリオ
社外アクセスは多要素認証(MFA)必須
→ VPNなしでクラウドにアクセスする社員が増えているなら必須。 管理されていないデバイスからはアクセス禁止
→ Intuneで管理されていないPCやスマホはブロック。 特定アプリだけ制御を強化
→ 例えば、Exchange OnlineやSharePoint Onlineなど機密情報を扱うサービス。
設定の流れ
ポリシーを作成
Entra ID管理センターで「条件付きアクセス」から新規ポリシーを作成。
条件を設定
ユーザー、グループ、場所、デバイスの状態などを指定。ユーザー単位の設定は、管理が複雑になるのでおすすめしません。
アクションを決める
MFA要求、アクセス拒否、セッション制御など。
テストしてから適用!
→ いきなり全社適用は危険。まずは対象を絞って影響を確認しましょう。
ユーザーがアクセスした際のながれ
flowchart LR
A[ユーザーがサインイン] --> B{条件付きアクセス評価}
B -->|ブロック条件| C[アクセス拒否]
B -->|MFA必須| D[MFAを要求]
D -->|成功| E[アクセス許可]
D -->|失敗| C
B -->|許可| E運用のコツ
レポートで影響を確認
「どのくらいブロックされたか」「誰がMFAを通過できなかったか」をチェック。
例外設定は最小限に
管理者アカウントの除外は慎重に。
定期的な見直し
業務変更や新しい脅威に合わせてポリシーを更新。
まとめ
条件付きアクセスは「難しそう」と思うかもしれませんが、最初の一歩は MFA必須ポリシーから始めるのがおすすめ。これだけでもセキュリティレベルはグッと上がります。
次のステップは「デバイスベースの制御」や「アプリごとのポリシー」。
少しずつ強化していきましょう!
