Microsoft Entra ID 条件付きアクセス設定ガイド

条件付きアクセスポリシーの基礎と目的

Microsoft Entra IDの条件付きアクセスは、ユーザーの認証状態やデバイス環境に応じて自動でアクセス制御を行う仕組みです。Entra IDを活用することで、企業ネットワークへの不正アクセスリスクを大幅に軽減できることが確認されています（Microsoft Learn 2024）。本記事では、この仕組みの設定手順や実務での導入ポイントを解説し、セキュリティ対策の一助となる情報を提供します。

条件付きアクセスポリシーの目的は、「必要最小限のアクセス権」をユーザーに与えることで、セキュリティリスクを軽減することです。たとえば、海外からのアクセスや未整備デバイスからのログイン時に自動で多要素認証（MFA）を強制するなど、柔軟なポリシー設定が可能です。

Microsoft Entra管理センターへのアクセス方法

Microsoft Entra IDの管理は、Azure portalから行います。管理者アカウントでのログインが必要であり、条件付きアクセス管理者ロールを持っていることが前提です。

以下にアクセス手順をステップバイステップで示します。

1. Azure portal（https://portal.azure.com）にログインし、左上の検索バーに「Entra ID」を入力します。
2. 表示された「Microsoft Entra ID」を選択し、メニューから「保護」→「条件付きアクセス」へ移動します。
3. 「条件付きアクセス」画面では、既存のポリシー一覧や新しいポリシーの作成が可能です。

注意点: 条件付きアクセスの設定には、Entra ID管理者アカウントだけでなく、Azure Active Directory（AAD）管理者ロールも必要です。権限不足で操作できない場合があります。

条件付きアクセスポリシー作成フロー

ポリシー作成には「名前」「適用対象」「アクセス制御ルール」の3つの基本要素を設定します。手順に沿って進めることで、混乱を防げます。

ポリシー作成の重要なポイント

• Policy Name: 誰もが理解できる名称をつける（例:「海外からのアクセス時MFA強制」）
• Target Users/Groups: 適用するユーザーまたはグループを選択（例:「全社員」「特定部署」）
• Cloud Apps or Actions: 保護対象のアプリケーションやアクションを指定（例:「Microsoft 365」、「すべてのクラウドアプリ」）

アクセス制御ルールの選択方法

• Conditions（条件）：IP範囲、デバイス状態などアクセス制限の基準を設定
• Access Controls（制御）：許可/ブロックの条件と必要なアクション（MFA強制、ブロックなど）を指定

以下にポリシー作成の一例を示します。

1. 「新しいポリシーを作成する」ボタンをクリック
2. 画面右上の「ポリシー名」に任意の名称を入力
3. 「適用対象」セクションでユーザー/グループ、アプリケーションを選択
4. 「アクセス制御」セクションで条件とアクションを設定

ネームドロケーションの設定手順

ネームドロケーションは、IPアドレス範囲や地理的位置情報を定義するためのテンプレートです。事前にオフィスや社内ネットワークのIP情報などを準備しておく必要があります。

IPアドレス範囲の指定方法

• IP Range：社内LANのIPアドレス（例: 192.168.0.0/16）を入力
• 名前：わかりやすい名称で登録（例:「東京オフィスネットワーク」）

注意点: プライベートIPアドレス（例: 192.168.x.x）は内部ネットワーク専用であり、条件付きアクセスのルールとしては不適切です。外部からのアクセス制限にはパブリックIP範囲（例: 203.0.113.0/24）を使用することを推奨します。

地理的位置情報の定義

• Country or Region：国や地域を選択（例: 「日本」「アメリカ合衆国」）
• Location Name：任意のラベルをつける（例:「海外アクセス」）

以下にネームドロケーション作成の一例です。

1. 「条件付きアクセス」画面左メニューから「ネームド ロケーション」を選択
2. 「＋IP 範囲の場所」または「＋国/地域の場所」をクリック
3. 必要な情報を入力し、「保存」ボタンを押下

IP範囲・デバイス状態などの条件指定方法

アクセス制御には、IPアドレスやデバイスコンプライアンスなど複数の条件を組み合わせて設定できます。

条件の組み合わせルール

• AND / OR: 条件間の論理演算を指定（例:「海外アクセス AND 未整備デバイス」）
• 「すべての条件を満たす場合に」または「いずれかの条件を満たす場合に」を選択

参考設定: ポリシーの柔軟性を高めるには、ANDで厳格な制限をかけると同時に、例外ルール（Exceptions）で特定ユーザー/グループを除外する方法が効果的です。

条件指定の例

多要素認証(MFA)との連携設定

MFAは、条件付きアクセスポリシーで必須の認証手段です。ポリシー内で「**Multi-Factor Authentication（MFA）」を選択すると、条件に該当するユーザーに対して自動でMFAを強制します。

MFAポリシーの設定手順

• Azure ADのMFA設定: 事前にAzure portalで「多要素認証」を有効にしておく必要があります
• MFAの方法: SMS、アプリケーションコード、フェデレーションなどから選択可能

ユーザーへの通知設定

• 「アクセス時にユーザーに通知する」チェックボックスをONにすると、ポリシーが適用されたときに自動で通知されます（例:「このアクセスには多要素認証が必要です」）
• 「例外ユーザー」：特定のユーザーをMFA対象外にする場合に指定

まとめ

本記事では、Microsoft Entra IDの条件付きアクセスポリシー設定手順と実務での導入ポイントを解説しました。以下のポイントを確認してください：

• Entra管理センターへのアクセス：Azure portalから「保護」→「条件付きアクセス」を選択
• ポリシー作成フロー：名前、対象ユーザー、条件と制御ルールを順に設定
• ネームドロケーション：IP範囲や国・地域情報を事前に定義
• 条件指定：AND/ORで複数のアクセス条件を組み合わせる
• MFA連携：ポリシー内でMFAを強制し、セキュリティリスクを軽減

Microsoft Learnに沿った設定により、企業の情報資産をしっかり守ることができます。