条件付きアクセス: ターゲット リソース

ターゲット リソース (以前のクラウド アプリ、アクション、認証コンテキスト) は、条件付きアクセス ポリシーの重要なシグナルです。 条件付きアクセス ポリシーを使用すると、管理者は特定のアプリケーション、サービス、アクション、または認証コンテキストに制御を割り当てることができます。

• 管理者は、組み込みの Microsoft アプリケーションと、ギャラリー、ギャラリー以外、アプリケーション プロキシを通じて公開されたアプリケーションなどの Microsoft Entra 統合アプリケーションを含むアプリケーションまたはサービスのリストから選択できます。
• 管理者は、セキュリティ情報の登録やデバイスの登録や参加などのユーザー アクションに基づいてポリシーを定義し、条件付きアクセスがこれらのアクションを制御できるようにします。
• 管理者は、グローバル セキュア アクセスからのトラフィック転送プロファイルをターゲットにして、機能を強化できます。
• 管理者は、認証コンテキストを使用して、アプリケーション内に追加のセキュリティ レイヤーを提供できます。

Microsoft クラウド アプリケーション

管理者は、Microsoft Graph を除き、テナントにサービス プリンシパルが表示される場合、条件付きアクセス ポリシーを Microsoft クラウド アプリに割り当てることができます。 Microsoft Graph は、アンブレラ リソースとして機能します。 対象ユーザー レポートを使用して、基になるサービスを確認し、ポリシー内のそれらのサービスを対象とします。 Office 365 や Windows Azure Service Management API などの一部のアプリには、複数の関連する子アプリまたはサービスが含まれています。 新しい Microsoft クラウド アプリケーションが作成されると、テナントにサービス プリンシパルが作成されるとすぐに、アプリ ピッカーの一覧に表示されます。

Office 365

Microsoft 365 は、Exchange、SharePoint、Microsoft Teamsなどのクラウドベースの生産性とコラボレーション サービスを提供します。 Microsoft 365 クラウド サービスは、スムーズに共同作業を行うために緊密に統合されています。 この統合は、ポリシーの作成時に混乱を招く可能性があります。一部のアプリ (Microsoft Teams など) は SharePoint や Exchange などの他のアプリに依存しているためです。

Office 365 アプリのグループ化により、これらのサービスを一度に対象にできます。 サービスの依存関係に関する問題を回避するために、個々のクラウド アプリを対象とするのではなく、Office 365 グループを使用することをお勧めします。

このアプリケーション グループをターゲットにすると、整合性のないポリシーや依存関係のために発生する可能性のある問題を回避するのに役立ちます。 たとえば、Exchange Online アプリは、メール、予定表、連絡先情報などの従来の Exchange Online データに関連付けられています。 関連するメタデータは、検索などのさまざまなリソースを通して公開される可能性があります。 すべてのメタデータが意図したとおりに確実に保護されるようにするために、管理者は Office 365 アプリにポリシーを割り当てる必要があります。

管理者は、条件付きアクセス ポリシーから Office 365 スイート全体または特定の Office 365 クラウド アプリを除外できます。

含まれているすべてのサービスの完全な一覧については、「Office 365 アプリ スイートの条件付きアクセスに含まれるアプリ」の記事を参照してください。

Windows Azure Service Management API

Windows Azure Service Management API アプリケーションを対象にすると、ポータルに密接にバインドされている一連のサービスに発行されたトークンにポリシーが適用されます。 このグループ化には、次のアプリケーション ID が含まれます。

• Azure Resource Manager
• Azure portal。Microsoft Entra 管理センターも対象です
• Azure Data Lake
• Application Insights API
• ログアナリティクスAPI (Log Analytics API)

ポリシーは Azure 管理ポータルと API に適用されるため、Azure API に依存するすべてのサービスまたはクライアントが間接的に影響を受ける可能性があります。 例えば次が挙げられます。

• Azure CLI
• Azure Data Factory ポータル
• Azure DevOps
• Azure Event Hubs
• Azure PowerShell
• Azure Service Bus
• Azure SQL Database
• Azure Synapse
• クラシック デプロイ モデル API
• Microsoft 365 管理センター
• Microsoft IoT Central
• SQL Managed Instance
• Visual Studio サブスクリプション管理者ポータル

Windows Azure Service Management API のサンプル ポリシーを設定する方法の詳細については、「条件付きアクセス: Azure 管理に MFA を必須にする」を参照してください。

Microsoft 管理ポータル

条件付きアクセス ポリシーが Microsoft 管理ポータル クラウド アプリを対象とする場合、ポリシーは、次の Microsoft 管理ポータルのアプリケーション ID に発行されたトークンに適用されます。

• Azure portal
• Exchange 管理センター
• Microsoft 365 管理センター
• Microsoft 365 Defender ポータル
• Microsoft Entra 管理センター
• Microsoft Intune 管理センター
• Microsoft Purview コンプライアンス ポータル
• Microsoft Teams 管理センター

一覧に管理ポータルを継続的に追加しています。

その他のアプリケーション

管理者は、Microsoft Entra に登録された任意のアプリケーションを条件付きアクセス ポリシーに追加できます。 これらのアプリケーションには次が含まれることがあります。

• Microsoft Entra アプリケーション プロキシを介して発行されたアプリケーション
• ギャラリーから追加されたアプリケーション
• ギャラリーにないカスタム アプリケーション
• アプリ配信コントローラーとネットワーク経由で公開されるレガシ アプリケーション
• パスワードに基づくシングル サインオンを使用するアプリケーション

一部のアプリケーションは、ピッカーにまったく表示されません。 これらのアプリケーションを条件付きアクセス ポリシーに含める唯一の方法は、New-MgServicePrincipal PowerShell コマンドレットを使用するか、Microsoft Graph API を使用して、すべてのリソース (以前は "すべてのクラウド アプリ") を含めるか、不足しているサービス プリンシパルを追加することです。

異なるクライアントの種類での条件付きアクセスについて

条件付きアクセスは、クライアントが ID トークンを要求する機密クライアントである場合を除き、クライアントではなくリソースに適用されます。

• パブリック クライアント
  • パブリック クライアントとは、Microsoft Teams などのモバイル アプリや、デスクトップ上の Microsoft Outlook などのデバイスでローカルに実行されるものです。
  • 条件付きアクセス ポリシーは、パブリック クライアント自体には適用されませんが、要求するリソースに基づいています。
• 機密クライアント
  • 条件付きアクセスは、クライアントによって要求されたリソース、および ID トークンを要求した場合の機密クライアント自体に適用されます。
  • たとえば、Outlook Web がスコープ Mail.Read および Files.Read のトークンを要求した場合、条件付きアクセスによって Exchange と SharePoint のポリシーが適用されます。 さらに、Outlook Web が ID トークンを要求した場合は、条件付きアクセスによって Outlook Web のポリシーも適用されます。

Microsoft Entra 管理センターからこれらのクライアントの種類のサインイン ログを表示するには、次の操作を実行します。

1. Microsoft Entra 管理センターにレポート閲覧者以上としてサインインします。
2. Entra ID>に移動し、モニタリングとヘルス>のサインイン ログを参照します。
3. [クライアント資格情報の種類] のフィルターを追加します。
4. サインインで使用されるクライアント資格情報に基づいてログの特定のセットを表示するように、フィルターを調整します。

詳細については、 パブリック クライアント アプリケーションと機密クライアント アプリケーションに関する記事を参照してください。

すべてのリソース

アプリを除外せずに すべてのリソース (以前は "すべてのクラウド アプリ") に 条件付きアクセス ポリシーを適用すると、 グローバル セキュリティで保護されたアクセス トラフィック転送プロファイルを含む、Web サイトやサービスからのすべてのトークン要求に対してポリシーが適用されます。 このオプションには、Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) などの条件付きアクセス ポリシーで個別に対象にできないアプリケーションが含まれます。

すべてのリソース ポリシーにアプリの除外がある場合の条件付きアクセスの動作

ポリシーから除外されているアプリがある場合、誤ってユーザー アクセスをブロックしないように、特定の低い特権スコープがポリシーの適用から除外されます。 これらのスコープにより、認証の一部としてアプリケーションで一般的に使用されるユーザー プロファイルとグループ メンバーシップ情報にアクセスするために、Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) や Microsoft Graph (00000003-0000-0000-c000-000000000000) など、基になる Graph API を呼び出すことが許可されます。 たとえば、Outlook が Exchange のトークンを要求すると、現在のユーザーの基本的なアカウント情報を表示できるように User.Read スコープも要求されます。

ほとんどのアプリには同様の依存関係があるため、すべてのリソース ポリシーにアプリの除外がある場合には、これらの低い特権スコープが自動的に除外されます。 これらの低い特権スコープの除外では、基本的なユーザー プロファイルとグループ情報以外のデータ アクセスは許可されません。 除外されるスコープが以下に一覧表示されていますが、アプリはこれらのアクセス許可を使用するための同意を必要とします。

• ネイティブ クライアントとシングル ページ アプリケーション (SPA) は、次の低い特権スコープにアクセスできます。
  • Azure AD Graph: email、offline_access、openid、profile、User.Read
  • Microsoft Graph: email、offline_access、openid、profile、User.Read、People.Read
• 機密クライアントは、すべてのリソース ポリシーから除外されている場合、次の低い特権スコープにアクセスできます。
  • Azure AD Graph: email、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All
  • Microsoft Graph: email、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All、People.Read、People.Read.All、GroupMember.Read.All、Member.Read.Hidden

前述のスコープの詳細については、「Microsoft Graph のアクセス許可リファレンス」と「Microsoft アイデンティティ プラットフォーム におけるスコープとアクセス許可」を参照してください。

ディレクトリ情報の保護

ビジネス上の理由により、 アプリの除外のない推奨ベースライン MFA ポリシー を構成できない場合は、 組織のセキュリティ ポリシーには、ディレクトリ関連の低い特権スコープ (User.Read、 User.Read.All、 User.ReadBasic.All、 People.Read、 People.Read.All、 GroupMember.Read.All、 Member.Read.Hidden) を含める必要があります。また、 Windows Azure Active Directory (00000002-00000-0000-c0000-00000000000000) を対象とする個別の条件付きアクセス ポリシーを作成する必要があります。 Windows Azure Active Directory (別称: Azure AD Graph) は、ユーザー、グループ、アプリケーションなどのディレクトリに格納されているデータを表すリソースです。 Windows Azure Active Directory リソースは、すべてのリソースに含まれますが、次の手順に従って条件付きアクセス ポリシーで個別に対象とすることができます。

1. 属性定義管理者および属性割り当て管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>カスタム セキュリティ属性を参照します。
3. 新しい属性セットと属性定義を作成します。 詳細情報については、「Microsoft Entra ID でカスタム セキュリティ属性の定義を追加または非アクティブ化する」を参照してください。
4. Entra ID>エンタープライズアプリケーションに移動します。
5. [アプリケーションの種類] フィルターを削除し、00000002-0000-0000-c000-000000000000 で始まるアプリケーション ID を検索します。
6. Windows Azure Active Directory>カスタムセキュリティ属性>割り当ての追加を選択します。
7. ポリシーで使用する属性セットと属性値を選択します。
8. Entra ID>Conditional Access>Policies に移動します。
9. 既存のポリシーを作成または変更します。
10. ターゲット リソース>リソース (旧クラウド アプリ)>含めるで、>リソースの選択>フィルターの編集を選択します。
11. 前述の属性セットおよび定義を含むようにフィルターを調整します。
12. ポリシーを保存します

グローバル セキュア アクセスを使用するすべてのインターネット リソース

[グローバル セキュア アクセスを持つすべてのインターネット リソース] オプションを使用すると、管理者は Microsoft Entra Internet Access からのインターネット アクセス トラフィック転送プロファイルをターゲットにすることができます。

これらのトラフィック転送プロファイルを使用すると、管理者は、Microsoft Entra Internet Access および Microsoft Entra Private Access 経由でトラフィックをルーティングする方法を定義および制御できます。 トラフィック転送プロファイルは、デバイスとリモート ネットワークに割り当てることができます。 これらのトラフィック プロファイルに条件付きアクセス ポリシーを適用する方法の例については、「Microsoft 365 トラフィック プロファイルに条件付きアクセス ポリシーを適用する方法」の記事を参照してください。

これらのプロファイルの詳細については、「グローバル セキュア アクセス トラフィック転送プロファイル」の記事を参照してください。

ユーザー操作

ユーザー操作とは、ユーザーが実行するタスクのことです。 条件付きアクセスでは、次の 2 つのユーザー アクションがサポートされます。

• セキュリティに関する情報の登録: このユーザー操作により、統合された登録が有効になったユーザーが自分のセキュリティに関する情報を登録しようとすると、条件付きアクセス ポリシーが適用されます。 詳細については、 統合されたセキュリティ情報の登録に関するページを参照してください。

• デバイスの登録または参加: このユーザー操作により、管理者は、ユーザーがデバイスを Microsoft Entra ID に登録するか、または参加させたときに条件付きアクセス ポリシーを適用できます。 これにより、現在存在するテナント全体のポリシーではなく、デバイスを登録するか参加させるための多要素認証をきめ細かく構成できます。 このユーザー操作には、次の 3 つの重要な考慮事項があります。
  • Require multifactor authentication と Require auth strength は、このユーザー アクションで使用できる唯一のアクセス制御であり、その他はすべて無効になっています。 この制限により、Microsoft Entra デバイス登録に依存している、あるいは Microsoft Entra デバイス登録に適用されないアクセス制御との競合を防ぐことができます。
    • Windows Hello for Business とデバイスバインドパスキーはサポートされていません。これらのシナリオでは、デバイスが既に登録されている必要があります。
  • Client apps、 Filters for devices、および Device state の条件は、条件付きアクセス ポリシーを適用するために Microsoft Entra デバイスの登録に依存しているため、このユーザー アクションでは使用できません。

認証コンテキスト

認証コンテキストは、アプリケーションのデータとアクションをセキュリティで保護します。 これらのアプリケーションには、カスタム アプリケーション、基幹業務 (LOB) アプリケーション、SharePoint、または Microsoft Defender for Cloud Apps によって保護されたアプリケーションが含まれます。

たとえば、組織では、ランチ メニューや秘密のバーベキュー ソースレシピなどのファイルを SharePoint サイトに格納できます。 誰もがランチメニューサイトにアクセスするかもしれませんが、秘密のBBQソースレシピサイトにアクセスするユーザーは、マネージドデバイスを使用し、特定の利用規約に同意する必要があります。

認証コンテキストはユーザーまたはワークロード ID で機能しますが、同じ条件付きアクセス ポリシー内では機能しません。

認証コンテキストの構成

Entra ID>Conditional Access>Authentication コンテキストで認証コンテキストを管理します。

[新しい認証コンテキスト] を選択して、新しい認証コンテキスト定義を作成します。 組織は、最大 99 個の認証コンテキスト定義 (c1 から c99) を作成できます。 次の属性を構成します。

• [表示名] は、Microsoft Entra ID と認証コンテキストを使用するアプリケーション間で認証コンテキストを識別するために使用される名前です。 必要な認証コンテキストの数を減らすために、信頼されたデバイスのようなリソース間で使用できる名前をお勧めします。 セットを小さくすると、リダイレクトの回数が制限され、エンドツーエンドのユーザー エクスペリエンスが向上します。
• 説明 では、ポリシーに関する詳細情報を提供します。 この情報は、管理者と、リソースに認証コンテキストを適用するユーザーによって使用されます。
• [アプリに発行] チェックボックスをオンにすると、認証コンテキストがアプリに対して公開され、割り当て可能になります。 オフにした場合、認証コンテキストはダウンストリーム リソースに使用できなくなります。
• [ID] は読み取り専用で、トークンとアプリで要求固有の認証コンテキスト定義に使用されます。 トラブルシューティングおよび開発のユース ケース用として、ここに一覧表示されています。

条件付きアクセス ポリシーに追加する

管理者は、[割り当て]>[クラウド アプリまたはアクション] で [このポリシーが適用される対象を選択する] メニューから [認証コンテキスト] を選択することによって、条件付きアクセス ポリシーで、公開されている認証コンテキストを選択できます。

認証コンテキストを削除する

認証コンテキストを削除する前に、アプリケーションで使用されていないことを確認します。 それ以外の場合、アプリ データへのアクセスは保護されません。 この前提条件を確認するには、認証コンテキストの条件付きアクセス ポリシーが適用されている場合のサインイン ログを確認します。

認証コンテキストを削除するには、条件付きアクセス ポリシーが割り当てられていないか、アプリに発行されていないことを確認します。 この要件によって、まだ使用中の認証コンテキストが誤って削除されるのを回避できます。

認証コンテキストを含むリソースをタグ付けする

アプリケーションでの認証コンテキストの使用の詳細については、次の記事を参照してください。

• 秘密度ラベルを使用して Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する
• Microsoft Defender for Cloud Apps
• カスタム アプリケーション

次のステップ

• 条件付きアクセス: 条件 – ポリシーを調整する条件を構成する方法について説明します。
• 条件付きアクセスの一般的なポリシー – 一般的なポリシー テンプレートを調べてすぐに開始します。
• クライアント アプリケーションの依存関係 – 依存関係が条件付きアクセス ポリシーにどのように影響するかを理解します。