Microsoft 365 秘密度ラベルで Azure AD 認証コンテキストを使用する方法

Microsoft 365 秘密度ラベルで Azure AD 認証コンテキストを使用する方法

ほとんどの機密の SharePoint オンライン サイトを保護するためのプレビュー機能

コンテナー管理機能に加えて、機密ラベルのプレビュー機能は、条件付きアクセス ポリシーで Azure AD 認証コンテキストを使用して SharePoint Online サイトの情報への安全なアクセスを確保する方法を示しています。

認証コンテキストは、特別な注意が必要な情報をタグ付けする方法です。まずは 2021 年 3 月に Azure AD に導入されました、認証コンテキストは、リソースへのアクセスを許可する前に、サービス プロバイダーが必要とする追加情報です。マイクロソフトは、認証コンテキストを"アプリ内のデータとアクションのターゲット ポリシー."言い方をすれば、認証コンテキストを使用すると、組織はターゲットデータに対してより細かい制御を適用できます。

秘密度ラベルに実装されているように、認証コンテキストは条件付きアクセス ポリシーをリンクして、SharePoint Online のようなアプリケーションが、ラベル付きサイトの情報にアクセスする前に、ユーザーが追加情報を提供する必要があることを知らせます。例を見てみましょう。

認証コンテキストの定義

最初に行うことは、認証コンテキストを定義することです。Azure AD 管理センターの[セキュリティ]セクションで、[条件付きアクセス]に移動し、 認証コンテキスト (プレビュー)。 私は、というコンテキストを作成しました MFA を必要とする (図1)。この名前は、アプリで表示される感度ラベルなどの名前です。画面の下部に表示されるコンテキストの ID (この場合は c1) は、認証コンテキストを使用する秘密度ラベルの設定に書き込まれる内部値です。

Azure AD 認証コンテキスト
図 1: Azure AD 認証コンテキスト

アプリに公開 チェックボックスが設定されており、この認証コンテキストは、感度ラベルなどのアプリに表示され、条件付きアクセスポリシーで使用できます。

条件付きアクセス ポリシーの作成

次の手順では、認証コンテキストを使用する条件付きアクセス ポリシーを作成します。条件付きアクセス ポリシーは、非常に単純なものから非常に複雑なものまでさまざまです。すべてが期待どおりに動作することを証明するために、ユーザーが MFA で認証しない限り、認証コンテキストでタグ付けされたリソースへのアクセスをブロックする単純なポリシーを作成することを選択しました。ここで新しい点は、アプリではなく認証コンテキストを選択することです(図2)。MFA を使用する要件は、[許可]セクションで選択されます (ここでは示されていません)。

認証コンテキストを持つ条件付きアクセス ポリシー
図 2: 認証コンテキストを持つ条件付きアクセス ポリシー

機密データを保護するために条件付きアクセス ポリシーに含めるもう 1 つの簡単な方法は、 利用規約 (TOU) チェックを含める サイトへのアクセスを取得する前に、ユーザーがアクセスを制御する条件を読み取り、確認するように強制します。

感度ラベルの更新

条件付きアクセス ポリシーを使用して SharePoint Online サイトを保護するには、認証コンテキストで構成された秘密度ラベルが必要です。図 3 は、認証コンテキストを選択した秘密度ラベルのプレビュー UI を示しています。

認証コンテキストを秘密ラベルにリンクする
図 3: 認証コンテキストを秘密ラベルにリンクする

ラベルを持つサイトにアクセスしようとすると、SharePoint Online はラベル設定を確認して、認証コンテキストが指定されているかどうかを確認します。見つかった場合、SharePoint Online は Azure AD を呼び出して、認証コンテキストに関連付けられている条件付きアクセス ポリシーを見つけてポリシーを呼び出します。この例では、ユーザーが MFA で認証を行い、それ以外の場合に失敗した場合に、サイトへのアクセスを試みます。

PowerShell を使用して認証コンテキストをサイトに割り当てる

感度ラベルの値は、SharePoint Online サイトへの条件付きアクセス ポリシー保護など、コンテナーに一連の異なるコントロールを簡単に割り当てるようにすることです。ただし、テナントが (まだ) 秘密度ラベルを使用していない場合は、PowerShell を使用してサイトを更新できます。認証コンテキストを含むラベルをサイトに割り当てた後、SharePoint Online は次の 2 つのサイト設定を更新します。

  • 条件アクセスポリシー: サイトを保護する条件付きアクセス ポリシーの名前を保持します。認証コンテキストを使用する場合、この値は “認証コンテキスト" です。
  • 認証コンテキスト名: 選択した認証コンテキストの名前を保持します。図 1 に従って、それは 「MFA を必要とする」です。

を実行して値を確認します。 ゲット・スポサイト コマンドレット:

Get-SPOSite -Identity https://office365itpros.sharepoint.com/sites/SuperConfidential | ft con*, aut*

ConditionalAccessPolicy AuthenticationContextName
----------------------- -------------------------
  AuthenticationContext Require MFA

更新するプロパティがわかったので、他のサイトを更新することができます。 セットスポサイト コマンドレット:

Set-SPOSite -Identity https://office365itpros.sharepoint.com/sites/ProjectAjax -AuthenticationContextName "Require MFA" -ConditionalAccessPolicy "AuthenticationContext"

ブロックのテスト

すべてが期待どおりに機能することをテストするために、私はTeamsを使用しました。今日作成された多くの SharePoint サイトはチームにリンクされているので、良いテスト シナリオのように思えました。予想通り、MFA を使用せずに機密ラベルが割り当てられたサイトにアクセスしようとすると、チーム ファイルのチャネル タブが接続できず、エラーが表示されました (図 4)。

条件付きアクセス ポリシーにより、[チーム ファイル]チャネル タブがブロックされる
図 5: 条件付きアクセス ポリシーが原因でチーム ファイル のチャネル タブがブロックされています

マイクロソフトは、必要に応じて MFA 認証を求めるため、チーム ファイルのチャネル タブをアップグレードしていると述べています。これにより、アクセスがスムーズになり、ユーザーが現在のエクスペリエンスで即座に失敗するのを防ぐことができます。

SharePoint オンライン ブラウザー インターフェイスを使用してサイトを開こうとすると、正常に開きました。これは、アカウントがセルフサービスパスワードリセット(SSPR)の挑戦を経て、そのプロセスを通じて収集された資格情報がMFA要件を満たしていたためだと気づくまで、しばらく戸惑いました。これは、理由です マイクロソフトは現在、MFA と SSPR の組み合わせセキュリティ情報を使用しています。 (組織が結合登録を使用していない場合は、次の手順に 次の手順を使用して有効にする).SSPR「あなたの組織はより多くの情報を必要とする」という課題に遭遇したとき、MFAが関与しているとすぐには思いませんでしたが、それはそうでした!

Azure AD がサイトの条件付きアクセス ポリシーを使用していることを確認するには、Azure AD のサインイン ログを確認します。図 5 は、SharePoint Online にサインインしたポリシーの対象となるユーザーがポリシーを呼び出したため、Azure AD がポリシーを呼び出したことを示しています。サインイン レコードはサイトの詳細をキャプチャしませんが、1 つの秘密ラベルだけが条件付きアクセス ポリシーを使用し、だれがサインインしているかを知っている場合は、2 つと 2 つを組み合わせて何が起こったのかを知ることができます。

条件付きアクセスの Azure AD サインイン レコード
図 5: 条件付きアクセスの Azure AD サインイン レコード

コントロールの増加

機密ラベルを条件付きアクセス ポリシーにリンクすると、ラベルが SharePoint Online サイトに対して実行できる制御の粒度が高くなり、コンテナー管理の感度ラベルの有用性が向上します。単一の認証コンテキストは、複数の条件付きアクセス ポリシーにリンクできるため、さまざまな状況でアクセスを制御する方法についてさまざまな可能性が生じられます。

SharePoint Online に格納されている機密情報の量を考えると、条件付きアクセスを簡単に制御できることと、Microsoft が機密ラベルのコンテナー管理機能を着実に構築する方法の良い例を示します。


Microsoft 365 エコシステム全体の開発に関する最新情報を入手するには、 IT 担当者向け Office 365 電子書籍。私たちは、読者が技術を理解していることを確認するために研究を行います。


未分類

Posted by admin