AzureActiveDirectory

【Azure】条件付きアクセスの設定方法解説!【ポータルへのアクセスをIPアドレスで制限する】

こんにちは、インフラエンジニアのryuです。

今回は、Azureの条件付きアクセスの設定方法を解説します。条件付きアクセスとは、AzureADの設定の1つで、ポータルサイトへのアクセスを制限します。特定の場所からのみアクセスを許可するなど、制限を掛けてセキュリティを強化します。Azureのセキュリティを強化させたい方必見です。

Azure条件付きアクセスの設定方法解説!

Azureの条件付きアクセスはどうやって設定するの?

今回の記事では、Azureの条件付きアクセスの設定方法について解説します。条件付きアクセスの概要から設定方法まで詳しく解説します。

今回の記事の内容は以下の通りです。

  • 条件付きアクセスとは?
  • 条件付きアクセスのベストプラクティス
  • 条件付きアクセスの設定方法

それでは、まずは条件付きアクセスの概要から説明します!

PCでサーバーを構築
Azureを動画で学習するならUdemyがオススメ!Azureのオンライン講座を紹介 こんにちは、フルスタックエンジニアのryuです。 今回の記事は、Azureを動画で学習したい人に向けてオススメ講...

条件付きアクセスとは?

条件付きアクセスとは、AzureActiveDirectoryの設定の1つで、ポータルサイトへのアクセスを制限します。

条件付きアクセスでは、以下の項目を対象にして制限を掛けることができます。

  • ユーザーまたはグループ メンバーシップ
  • IPアドレス
  • デバイス
  • アプリ
  • リアルタイムでの計算されたリスクの検出
  • Microsoft Cloud App Security (MCAS)

例えば、IPアドレスについて制限を掛けると、自分がアクセスする場所のみポータルサイトのログインを許可しますします。それ以外の場所からはログインできないようにするということが可能です。

また、アクセス制御をユーザ毎に掛けることも可能です。

さらに、AzureAD Identity Protectionと連携させることで、不審なログイン動作を行うユーザからのアクセスをブロックすることも可能です。これにより、不正アクセスを防ぐことができます。

詳細は、以下のドキュメントに記載してあります。参考にしてください。

https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/overview

条件付きアクセスのベストプラクティス

条件付きアクセスは、細かくアクセスを制限することが可能です。

その場合、どのような制御を行えばよいか分からないと思います。そのような方のために、条件付きアクセスのベストプラクティスがあります。

Azureのドキュメントに詳細が記載されているので、こちらをご覧ください。

Azure のドキュメント | Microsoft Docs

条件付きアクセスは、自身の環境によってポリシーを適切に設定する必要があります。

記事の後半では、IPの制限方法を紹介します。

AzureADで条件付きアクセスの設定をする

では、条件付きアクセスの設定方法の解説をします。

今回は、IPアドレスでポータルサイトへのアクセスを制限します。

具体的に言うと、許可したIPアドレスからはポータルサイトへのアクセスを許可して、それ以外からはログインできないようにします。

AzureADの条件付きアクセスの設定画面を開く

まず、AzureADの設定画面に行き、「セキュリティ」をクリックします。

条件付きアクセスの設定手順1

次に、「条件付きアクセス」をクリックします。

条件付きアクセスの設定手順2

許可するIPアドレスの指定

次に許可するIPアドレスの指定をします。

「 ネームド ロケーション」より、「新しい場所」をクリックします。

条件付きアクセスの設定手順3

次に、許可するIPアドレスの登録をします。

  • 「名前」→どこのIPアドレスかわかるような名前(なんでも良いです)
  • 「次を使用して場所を定義します」→IP範囲
  • 「IP範囲」→許可するIPアドレスを登録。

以下のように登録します。ちなみにIPアドレスは適当に入れました。自身の環境に合わせて設定してください。

条件付きアクセスの設定手順4

条件付きアクセスのポリシーの作成

最後にポリシーの作成です。

ポリシー」より、「新しいポリシー」をクリックします。

条件付きアクセスの設定手順5

ここから、条件付きアクセスのポリシー設定を行います。

自分の環境に合わせて設定してください。注意点は、1つのユーザは対象外に設定するようにしてください。もし、設定をミスした場合、ポータルにログインできなくなるからです。

割り当ての「ユーザとグループ」で、対象外でどれか1つのユーザを選んでおきましょう。

次に条件で、IPアドレスの制限を行います。

「場所」→「対象」→「すべての場所」をクリック

場所」→「対象外」→「選択された場所」→先ほど作成したIPを選択

条件付きアクセスの設定手順6

次に、アクセス制御で「アクセスのブロック」を選択します。

条件付きアクセスの設定手順7

これで設定は完了です。

全てのIPからのアクセスはブロックし、対象外で指定したIPアドレスからは許可される動きになります。

また、確認のためにポリシー画面の「What If」より、ポリシーが適用されているか確認ができます。

↓より、What Ifの使い方が記載されています。もし、条件付きアクセスが上手くいかない場合は、What ifより、どのようなポリシーが適用されているか確認しましょう。

https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/what-if-tool

Azureの条件付きアクセスまとめ

今回の記事では、Azureの条件付きアクセスについて解説しました。まとめると以下のようになります。

  • 条件付きアクセスとは、AzureActiveDirectoryの設定の1つで、ポータルサイトへのアクセスを制限する。
  • ベストプラクティスに従ってセキュリティを高めよう
  • AzureADから条件付きアクセスの設定を実施

AzureADの条件付きアクセスはセキュリティを高めるために重要な設定なので、ぜひ覚えておきましょう。

当ブログでは、このようなインフラやクラウドに関連した技術を紹介しているので、興味のある方は是非ご覧ください。

また、さらにAzureの勉強をしたい方はこちらの参考書がオススメです。

About me
大手メーカのIT部門→上場ベンチャーでフルスタックエンジニアやってます。エンジニア歴は8年目。 サーバ、ネットワーク、セキュリティ、クラウドについて投稿します。 AI、ARも勉強中です! youtubeでも技術ネタを発信していきます。↓のアイコンよりご覧ください!

UdemyでIT講座をチェック!

  • セールだと1500円前後!
  • 無料サンプル講義動画・無料講義動画あり!
  • 気に入らなければ30日間返金保証!