IdPowerToys アプリを使用した Azure AD 条件付きアクセス ポリシーの文書化
プレゼンテーションとしての条件付きアクセス ポリシー設定の手動および自動ドキュメントPowerPoint
ウィンドウズには そのパワートイ そして現在、MicrosoftのID管理チームは、Azure Active Directoryのパワーユーザーが仕事を成し遂げるのを支援するアプリであるIdentity Power Toys(idPowerToys)で行動を起こしています。アプリの最初のリリースは、 条件付きアクセス文書作成者は、Azure AD から条件付きアクセス ポリシーの構成を読み取り、PowerPointプレゼンテーションの形式でドキュメントを生成するための便利なツールです ( 同期融合).ザ IdPowerToys GitHub リポジトリ は、すべての人が閲覧して貢献できます。
条件付きアクセス ポリシー Azure AD が受信接続を調べて、接続を受け入れるか拒否するかを決定するための条件と条件を設定します。一般的な条件付きアクセス ポリシーは、アカウントで多要素認証 (MFA) を使用することを要求するポリシーです。ポリシーでは、MFA 応答に使用される認証方法が特定の強度である必要があると定義することもできます。たとえば、SMS 応答は受け入れられませんが、Microsoft 認証システム アプリからの応答は問題ありません。
Microsoft Entra (Azure AD) 管理センターで条件付きアクセス ポリシーを管理するために使用される GUI を気に入っているのは、その作成者だけです。間違いを犯すのは簡単で、人々は満たすことができない条件を実装することによって自分自身をロックアウトすることが知られています。また、接続のサインイン頻度を上げるなど、ユーザーとアプリの間の日常的なやり取りを悲惨にする条件を簡単に作成できます。大規模なエンタープライズ テナントにはさまざまなポリシーが存在する可能性があり、Azure AD が一連のポリシーの条件を適用するときに接続が通過するフローを理解するのは難しい場合があります。Azure AD サインイン ログ内のレコードを調べると、状況が明らかになりますが、ドラッグになる可能性があります。
条件付きアクセス文書作成者
最初の IdPowerToys アプリである条件付きアクセス ドキュメント ツールを入力します。アプリ オンラインで入手できます また、次の 2 つのモードをサポートしています。
- 自動生成: IdPowerToys は、テナントの Azure AD で作成されたエンタープライズ アプリを使用して条件付きアクセス ポリシーを取得し、PowerPointプレゼンテーションを生成します。出力のさまざまな要素をマスクすることを選択できます。たとえば、ポリシー名をマスクすることを選択した場合、IdPowerToys は、その動作に基づいて独自のバージョンのポリシー名を生成します。ユーザー名をマスクすることを選択した場合、IdPowerToys は表示名ではなくアカウント識別子を出力します。
- 手動生成: テナント管理者は、PowerShell コマンドを実行するか、Graph エクスプローラーを使用して、条件付きアクセス ポリシーに関する JSON 形式の情報を取得し、結果をテキスト ボックスに貼り付けます。IdPowerToys は、この情報を使用してPowerPointファイルを作成します。マスキングは手動生成ではサポートされていません。
エンタープライズ アプリは、別のテナントが所有する登録済みの Azure AD アプリで、他のテナントにアプリのインスタンスを作成します。アプリ インスタンスと共に、Azure AD は、アプリに必要なアクセス許可を保持するサービス プリンシパルを作成します。アプリが Azure AD にアクセスするためのアクセス許可を使用して条件付きアクセス ポリシーに関する情報をフェッチする前に、管理者が同意を付与する必要があります。
次のようなアプリの権限を付与することに不安を感じる人もいます ディレクトリ.読み取り.すべて (Azure AD からアカウント、グループ、およびその他のオブジェクトに関する情報を読み取る) および Policy.Read.All (組織のすべてのポリシー情報を読み取る)。ただし、図 1 に示すように、アクセス許可はアプリケーションではなく委任されるため、管理者ロールを持つアカウントがアクセス許可を使用するには、アプリにサインインする必要があります。
Azure AD でアクセス許可を持つエンタープライズ アプリを作成することに不安がある場合は、手動生成方法を使用して、 Invoke-GraphRequest データをフェッチしてクリップボードに出力するコマンドレット。このコマンドは、管理者が実行した場合にのみ機能します。
Invoke-GraphRequest -Uri 'https://graph.microsoft.com/beta/policies/conditionalAccessPolicies' -OutputType Json | Set-Clipboard
図 2 は、IdPowerToys アプリに貼り付けられたグラフから取得した結果を示しています。
どちらの場合も、条件付きアクセス ポリシーを文書化するために生成されるプレゼンテーションPowerPointは同じです。私のテナントの場合、12 個の条件付きアクセス ポリシー (すべてが使用されているわけではありません) では、アプリは 13 枚のスライド (1 つのタイトル スライドとポリシーごとに 1 つ) を含む 609 KB のファイルを生成し、有効ポリシーと無効なポリシーのセットに分割されました。セット内では、ポリシーは最終更新日でソートされるため、最後に変更されたポリシーが最初に表示されます。
図 3 は、IdPowerToys によって生成されたプレゼンテーションと、スライドの条件付きアクセス ポリシーの詳細を示しています。これは、ゲスト アクセスに MFA を要求する一般的なポリシーであり、特定の認証強度を要求し、サインイン頻度を 90 日に設定するように調整されています。ポリシーが有効になっていることがわかります。
条件付きアクセス ポリシーを異なる方法で視覚化する
概念的には、条件付きアクセス ポリシーのドキュメントを生成することは難しくありません。Graph API 要求は情報を取得するために存在し、その後、条件、アクション、アクセス制御、およびセッション制御を解析して、目的の形式で出力するだけです。Wordでのドキュメントを好む人もいるかもしれません。PowerPointでいいと思います。IdPowerToys は、組織が条件付きアクセス ポリシーを視覚化、明確化、合理化するのに役立つドキュメントを提供しますが、これは良いことです。
Office 365 for IT プロフェッショナル チームの作業をサポートするには、 IT プロフェッショナル向け Office 365 電子書籍。お客様のサポートは、Microsoft 365 と Office 365 の変化する世界を追跡、分析、文書化するために必要な時間に対して支払われます。