Microsoft Entra IDの「条件付きアクセス」とは？ ゼロトラストの中核を担うアクセス制御の仕組み

「社外からアクセスする場合はMFAを必須にしたい」「管理者は準拠デバイスからのみサインインを許可したい」「特定の国からのアクセスをブロックしたい」——こうした「条件に応じたアクセス制御」を実現するのが**条件付きアクセス（Conditional Access）**です。

条件付きアクセスはMicrosoft Entra IDの中核機能であり、ゼロトラストセキュリティの「すべてのアクセスを検証する」という原則を実装するための仕組みです。

基本概念：「If → Then」のポリシー

条件付きアクセスポリシーは「条件（If）に合致したら、制御（Then）を適用する」というシンプルな構造です。

条件（Signals）： ユーザー/グループ、アプリ、デバイスの状態、場所（IPアドレス/国）、リスクレベル、クライアントアプリの種類

制御（Controls）： アクセスをブロック、MFAを要求、準拠デバイスを要求、利用規約への同意を要求、セッションの制限（ブラウザのみ許可、ダウンロード禁止など）

代表的なポリシー例

ポリシー1：全ユーザーにMFAを要求

最も基本的なポリシーです。すべてのユーザーがMicrosoft 365にサインインする際にMFAを要求します。セキュリティ既定値群（Security Defaults）の代わりに、より柔軟な制御が可能です。

ポリシー2：管理者にはフィッシング耐性のあるMFAを要求

グローバル管理者、セキュリティ管理者など特権ロールを持つアカウントには、通常のMFAではなくFIDO2セキュリティキーやWindows Hello for Businessなどフィッシング耐性のある認証を必須にします。

ポリシー3：社外からのアクセスにMFAを要求、社内はパススルー

社内ネットワーク（信頼済みIPアドレス）からのアクセスはMFAなしで許可し、社外からのアクセスにはMFAを要求するポリシーです。ユーザーの利便性を保ちつつ、リスクの高い社外アクセスを保護します。

ポリシー4：特定の国からのアクセスをブロック

自社に関係のない国/地域からのサインインをブロックするポリシーです。ブルートフォース攻撃やパスワードスプレー攻撃の大半は海外からの試行であるため、効果的な防御になります。

ポリシー5：非準拠デバイスからのアクセスを制限

Intuneの準拠ポリシーを満たしていないデバイスからのアクセスを「ブラウザのみ＋ダウンロード禁止」に制限するポリシーです。個人デバイス（BYOD）からのアクセスを完全にブロックするのではなく、制限付きで許可する柔軟な運用が可能です。

必要なライセンス

条件付きアクセスの利用にはEntra ID P1以上のライセンスが必要です。

• Microsoft 365 Business Premium： Entra ID P1が含まれる（条件付きアクセス利用可能）
• Microsoft 365 E3： Entra ID P1が含まれる
• Microsoft 365 E5： Entra ID P2が含まれる（リスクベースの条件付きアクセスが追加で利用可能）

Business BasicやBusiness Standardには含まれていません。条件付きアクセスを使うにはBusiness Premiumへのアップグレードが必要です。

中小企業の導入ステップ

Step 1： セキュリティ既定値群を無効化し、条件付きアクセスに切り替える（両方を同時に有効にはできない）。

Step 2： 全ユーザーへのMFA要求ポリシーを作成（セキュリティ既定値群の代替）。

Step 3： 管理者アカウントに強化されたMFA要求ポリシーを追加。

Step 4： 業務上不要な国/地域からのアクセスをブロックするポリシーを追加。

Step 5： Intune導入後、デバイスの準拠状態に基づくポリシーを追加。

重要： 条件付きアクセスポリシーは「レポート専用モード」で事前テストできます。いきなり有効化せず、まずレポート専用モードで影響範囲を確認してから本番適用してください。

まとめ

条件付きアクセスは「社外からはMFA必須」「管理者はフィッシング耐性MFA必須」「特定の国からはブロック」といった柔軟なアクセス制御を実現する、ゼロトラストの中核機能です。Business Premiumのライセンスがあればすぐに利用開始できます。

情シス365では、条件付きアクセスポリシーの設計・テスト・展開を支援しています。お気軽にご相談ください。