Azure AD 条件付きアクセス ポリシーで外部ユーザーの種類のチェックを追加する

Azure AD 条件付きアクセス ポリシーで外部ユーザーの種類のチェックを追加する

外部ユーザーをきめ細かく制御するための新しい条件付きアクセス ポリシー設定

接続に特定の認証強度を要求するコントロールを追加することで、Azure AD 条件付きアクセス ポリシーを改善するための最近の作業に基づいて、Microsoft は別の興味深いコントロールをリリースしました (プレビュー段階)。あなたは今できる テナントに接続するさまざまな種類の外部ユーザーを区別する マイクロソフトが「きめ細かな Azure B2B アクセス制御."

Azure AD は認証フローに基づいてさまざまな種類の接続を認識するため、SharePoint Online サイトにアクセスするゲストや、別のテナントで認証されたアカウントが B2B ダイレクトコネクト にアクセスするには チーム共有チャネル.接続の種類を区別することで、Azure AD は条件付きアクセスを適用して、特定の接続に条件を課すことができます。

外部ユーザーへのコントロールの追加

新しいコントロールを試すために、新しい条件付きアクセス ポリシーを作成しました。[割り当て]セクションでは、特定のユーザーを含めることを選択しました。このオプションは常に使用可能でしたが、Azure AD でサポートされているさまざまな種類の外部ユーザーから選択できるようになりました (図 1)。

条件付きアクセス ポリシーの外部ユーザーの種類の定義
図 1: 条件付きアクセス ポリシーの外部ユーザーの種類の定義

ほとんどの Microsoft 365 テナントでは、興味深いオプションは B2B コラボレーションと B2B ダイレクトコネクトです。Azure B2B コラボレーションを使用して作成されたゲスト アカウントは、Outlook Groups、Teams、SharePoint Online、OneDrive for Business、Yammer、および Planner のリソースへの外部アクセスをサポートするために、2016 年半ばから使用されています。Azure B2B コラボレーション ポリシーは、ドメインのブロック リストを使用してゲスト アカウントの作成を制御するために使用できます。ポリシーが設定されていても、テナントは多数のゲストアカウントを持つことになるため、古いゲストを削除するためにプルーニングを行う必要があります。

B2B Direct Connect を使用して Teams 共有チャネルにアクセスする外部アカウント (現在サポートされている唯一のワークロード) は、テナントディレクトリに存在しません。代わりに、これらのアカウントは独自のディレクトリに対して認証を行い、資格情報を提示してホストテナント内のリソースにアクセスします。もし、 テナント間アクセス ポリシー 両方のテナントで構成されたアクセスを許可すると、アカウントはリソースを操作できます。

外部ユーザー コントロールには、より特殊な状況で使用される他の種類のアカウントが含まれます。要点は、インバウンド接続の制御には多くの柔軟性が存在するということです。たとえば、テナント識別子またはテナントの登録済みドメインを使用してコントロールを特定の Microsoft 365 テナントに制限できます (図 2) テナントをポリシーに追加できます (テナント識別子がわからない場合は、オンライン サービスを使用して見つけることができます)。

条件付きアクセス ポリシーへの外部 Azure AD ドメインの追加
図 2: 条件付きアクセス ポリシーへの外部 Azure AD ドメインの追加

新しいコントロールは、条件付きアクセス ポリシーで使用できる他のコントロールと共に機能します。この例では、Office 365 アプリに適用し、アクセスを許可するために多要素認証を要求するようにポリシーを構成しました。

条件付きアクセス ポリシーの計画

Azure AD テナントは、最大 195 個の条件付きアクセス ポリシーをサポートできます。.互いに競合する条件付きアクセス ポリシーのセットを作成しないこと、および各ポリシーが明確に定義された目的を果たしていることを確認するには、計画が必要です。たとえば、特定のテナントからの外部接続を制御する新しい機能は、管理者が特定のテナントからの外部アクセスの外部アクセスを制御する複数のポリシーを作成するように誘惑する可能性があります。これは悪い考えであり、おそらくメンテナンスの悪夢になるでしょう。1 つのポリシーを使用して、すべてのパートナー テナントからの外部アクセスを処理するようにしてください。これは、ほぼ同じ種類のコントロールがすべてのテナントに適用される可能性が高いためです。

他のポリシーがテストに干渉しないように、外部アクセスに関連するポリシーをレポート専用モードにしました。

コントロールのテスト

新しいポリシーが期待どおりに機能することをテストするために、ポリシーで指定されたテナントに属するアカウントを使用して Teams にサインインしました。その後、共有チャンネルを開き、すぐにMFAチャレンジで昇格しました。チャレンジを完了した後、クライアントは共有チャネルに接続し、アカウントはメッセージを投稿できます。図 3 に、認証と条件付き acc を示します。条件付きアクセス ポリシーによって処理されるサインインの ess の詳細。

Azure AD サインイン レコードは、条件付きアクセス ポリシーの適用を追跡します。
図 3: Azure AD サインイン レコードは、条件付きアクセス ポリシーのアプリケーションを追跡します。

接続のもう 1 つのコントロール

条件付きアクセスポリシーは、Microsoft 365 テナントを攻撃者から安全かつ安全に保つための普遍的な万能薬ではありません。ただし、正しく構成および展開された条件付きアクセス ポリシーは、テナント リソースにアクセスすべきでないユーザーがアクセスするのを防ぐことができます。新しい find-grained 外部アクセス制御は、この点で役立ちます。条件付きアクセスは Azure AD Premium の機能であり、Exchange Online 認証ポリシーと共にデプロイして、攻撃者のプローブから最大限の保護を得ることを忘れないでください。


Microsoft 365 エコシステム全体の開発に関する最新情報を入手するには、 IT プロフェッショナル向け Office 365 電子ブック。私たちは、読者が技術を確実に理解できるように研究を行っています。

未分類

Posted by admin