Microsoft 365

認証コンテキスト(Authentication Context)の活用 ― 機密リソースへのアクセスだけ追加認証を要求する

#認証コンテキスト#条件付きアクセス#Entra ID#ゼロトラスト#セキュリティ

通常の条件付きアクセスは「誰が・どこから・何のアプリにアクセスするか」で制御しますが、同じSharePoint Onlineの中でも「一般的な社内情報のサイト」と「経営会議の機密資料サイト」では求めるセキュリティレベルが違います。

**認証コンテキスト(Authentication Context)**は、アプリ単位ではなく「リソース単位」でアクセス条件を切り替える仕組みです。

仕組み

認証コンテキストは、条件付きアクセスポリシーと秘密度ラベル(またはSharePointサイト)を紐付ける「中間層」です。

設定の流れ:

  1. Entra管理センターで認証コンテキスト(例:「機密アクセス」)を定義
  2. 条件付きアクセスポリシーで「認証コンテキスト = 機密アクセス」を条件に設定し、制御(準拠デバイス必須、MFA必須など)を割り当て
  3. SharePointサイトまたは秘密度ラベルに「機密アクセス」の認証コンテキストを紐付け

これにより、該当のSharePointサイトにアクセスした時、または該当の秘密度ラベルが付いたファイルを開こうとした時に、追加の認証要求がトリガーされます。

活用例

例1:経営会議サイトへのアクセスに準拠デバイスを要求。 通常のSharePointサイトはどのデバイスからでもアクセス可能だが、経営会議の資料が格納されたサイトだけはIntuneの準拠デバイスからのアクセスに限定。

例2:「極秘」ラベルのファイルにフィッシング耐性MFAを要求。 通常のMFA(Authenticatorプッシュ通知)でサインイン済みでも、「極秘」ラベル付きファイルを開こうとするとFIDO2キーによる追加認証が求められる。

例3:特定のサイトを社内ネットワークからのみアクセス可能にする。 人事情報や給与データが格納されたサイトに「社内ネットワーク限定」の認証コンテキストを設定。

必要なライセンス

  • Entra ID P1以上(条件付きアクセスの利用に必要)
  • 秘密度ラベルとの連携にはBusiness Premium / E3以上

いつ導入すべきか

認証コンテキストは「すべてのリソースに同一のセキュリティレベルを適用するのが業務上不合理な場合」に有効です。中小企業では、まず条件付きアクセスの基本ポリシー(全員MFA、管理者強化MFA、国ブロック)を整備した上で、特に機密性の高い情報を扱うサイトやラベルに対して段階的に導入するのが現実的です。

情シス365では、条件付きアクセスの設計から認証コンテキストの構成まで支援しています。お気軽にご相談ください。

☁️Support365 — 運用代行・ヘルプデスク

Microsoft 365の運用管理・トラブル対応・アカウント管理まで、日々のIT業務をまるごとサポート。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談