Entra ID 条件付きアクセス設計テンプレート|中小企業向け5つの推奨ポリシー
「パスワードだけでは守れない」——ランサムウェアやフィッシング攻撃の被害が中小企業にも広がるなか、ゼロトラストセキュリティの第一歩として注目されるのが Microsoft Entra ID の条件付きアクセス です。
本記事では、中小企業がすぐに導入できる5つの推奨ポリシーテンプレートと、それぞれの設定手順概要を解説します。
条件付きアクセスとは
条件付きアクセスは、「誰が」「どのデバイスで」「どこから」「何にアクセスするか」をリアルタイムに評価し、アクセスの許可・拒否・追加認証の要求を自動で判断する仕組みです。
従来の境界型セキュリティ(VPNで社内ネットワークに入れば安全)とは異なり、すべてのアクセスを検証する ゼロトラストモデルの入口 として機能します。Microsoft Entra ID P1ライセンス以上で利用可能です。
推奨ポリシーテンプレート5選
ポリシー1:全ユーザーMFA強制
目的。 すべてのクラウドアプリへのアクセスにMFA(多要素認証)を必須化し、パスワード漏洩時の不正アクセスを防止します。
対象。 全ユーザー(緊急アクセス用アカウントを除外)。
条件。 すべてのクラウドアプリ、すべての場所。
設定手順概要。 Entra管理センター → 保護 → 条件付きアクセス → 新しいポリシー。割り当てで「すべてのユーザー」を選択し、除外にbreakglassアカウントを追加。クラウドアプリは「すべてのクラウドアプリ」を選択。アクセス制御の「許可」で「多要素認証を要求する」にチェックを入れ、ポリシーを「レポート専用」で保存してテスト後に「オン」に切り替えます。
ポリシー2:管理者の厳格な保護
目的。 グローバル管理者やExchange管理者など特権ロールに対し、フィッシング耐性のある認証方法を強制します。
対象。 グローバル管理者、セキュリティ管理者、Exchange管理者、SharePoint管理者など全特権ロール。
条件。 すべてのクラウドアプリ、すべての場所。
設定手順概要。 割り当ての「ユーザー」でディレクトリロールから対象ロールを選択。アクセス制御の「許可」で「認証の強度を要求する」を選び、「フィッシング耐性のあるMFA」を指定します。これにより FIDO2セキュリティキーまたはMicrosoft Authenticatorのパスワードレスサインインが必須となります。SMS認証やアプリ承認のみでは通過できません。
ポリシー3:デバイスコンプライアンス(Intune連携)
目的。 Intuneのコンプライアンスポリシーに準拠したデバイスからのアクセスのみを許可し、管理外デバイスからのデータ流出を防止します。
対象。 全ユーザー(ゲストアカウントを除外)。
条件。 すべてのクラウドアプリ、デバイスプラットフォームはWindows・iOS・Androidを指定。
設定手順概要。 事前にIntuneでコンプライアンスポリシー(BitLocker有効化、OSバージョン最小要件、ウイルス対策有効など)を作成しておきます。条件付きアクセスのアクセス制御「許可」で「デバイスは準拠しているとしてマーク済みである必要があります」を選択。BYOD端末は「アプリの保護ポリシーが必要」に切り替えることで、データ保護を維持しつつ私用端末からのアクセスも許容できます。
ポリシー4:リスクベース認証(Identity Protection)
目的。 Microsoftの機械学習がサインインリスクを検知した場合に追加認証を要求し、不審なアクセスを自動ブロックします。
対象。 全ユーザー。
条件。 サインインリスクが「中以上」の場合。Entra ID P2ライセンスが必要です。
設定手順概要。 条件の「サインインリスク」で「中」と「高」にチェック。アクセス制御「許可」で「多要素認証を要求する」を設定。さらにユーザーリスクポリシーとして、ユーザーリスクが「高」の場合に「パスワード変更を要求する」ポリシーを別途作成します。通常のアクセスでは追加負担をかけず、異常検知時のみ保護が強化されるため、利便性とセキュリティを両立できます。
ポリシー5:ゲスト・外部ユーザーの制限
目的。 取引先や協力会社などの外部ユーザーがアクセスできるアプリとデータを限定し、情報漏洩リスクを低減します。
対象。 ゲストユーザーおよび外部ユーザー。
条件。 対象アプリをSharePoint Online・Microsoft Teamsに限定。
設定手順概要。 割り当ての「ユーザー」で「ゲストまたは外部ユーザー」を選択。クラウドアプリでSharePointとTeamsのみを指定。アクセス制御「許可」で「多要素認証を要求する」と「利用規約への同意を要求する」の両方にチェック。セッション制御で「サインインの頻度」を8時間に設定し、長時間の放置アクセスを防止します。
導入時の注意事項
breakglassアカウントの準備。 条件付きアクセスの設定ミスで全管理者がロックアウトされる事態を防ぐため、MFAを除外した緊急アクセス用アカウントを必ず2つ作成してください。このアカウントはクラウド専用IDとし、長く複雑なパスワードを設定のうえ金庫に保管します。サインインログを監視し、利用があった場合に即アラートが飛ぶ設定にしておきます。
レポート専用モードでのテスト。 すべてのポリシーは最初に「レポート専用」モードで作成し、サインインログで影響範囲を確認してから「オン」に切り替えましょう。いきなり本番適用すると業務が停止するリスクがあります。
ライセンス要件の確認。 ポリシー1〜3・5はEntra ID P1で利用可能ですが、ポリシー4のリスクベース認証にはEntra ID P2が必要です。Microsoft 365 Business Premiumにはp1が含まれています。P2が必要な場合はEntra ID P2の単体ライセンス追加を検討してください。
まとめ
条件付きアクセスはゼロトラストセキュリティの土台です。5つのポリシーテンプレートを段階的に導入することで、中小企業でもエンタープライズレベルのアクセス制御を実現できます。まずはポリシー1(全ユーザーMFA)とポリシー2(管理者保護)から着手し、順次拡張していくことをお勧めします。
「自社に合ったポリシー設計がわからない」「設定ミスでロックアウトされるのが怖い」という方は、情シス365の無料相談をご利用ください。Entra IDの条件付きアクセス設計から運用まで、中小企業専門のエンジニアがサポートします。