条件付きアクセス ポリシー テンプレート

概要

条件付きアクセス テンプレートは、Microsoft の推奨事項と整合性がある新しいポリシーをデプロイするための便利な方法を提供します。 これらのテンプレートは、さまざまな顧客の種類および場所で一般的に使用されるポリシーに合わせて、最大限の保護を提供するように設計されています。

Microsoft Entra 管理センターの条件付きアクセス ポリシーとテンプレートを示すスクリーンショット。

テンプレートのカテゴリ

条件付きアクセス ポリシー テンプレートは、次のカテゴリに分類されます。

Microsoft では、すべての組織のベースとして、これらのポリシーを推奨しています。 これらのポリシーをグループとして展開します。

これらのテンプレートは、Microsoft Entra 管理センター>Entra ID>Conditional Access>テンプレートから新しいポリシーを作成で見つけることができます。 [ 詳細を表示 ] を選択すると、各カテゴリのすべてのポリシー テンプレートが表示されます。

Microsoft Entra 管理センターで構成済みのテンプレートから条件付きアクセス ポリシーを作成する方法を示すスクリーンショット。

重要

ユーザーを対象とする条件付きアクセス テンプレート ポリシーでは、ポリシーを作成しているユーザーのみがテンプレートから除外されます。 組織で 他のアカウントを除外する必要がある場合は、作成後にポリシーを変更します。 これらのポリシーは 、Microsoft Entra 管理センター>Entra ID>Conditional Access>Policies で確認できます。 ポリシーを選択してエディターを開き、除外されるユーザーとグループを変更して、除外するアカウントを選択します。

既定では、各ポリシーは レポート専用モードで作成されます。 各ポリシーを有効にする前に、使用をテストして監視し、意図した結果を確認します。

組織は、個々のポリシー テンプレートを選択できるほか、次のことが可能です。

  • ポリシー設定の概要を表示する。
  • 組織のニーズに基づいてカスタマイズするために編集する。
  • プログラムのワークフローで使用するために JSON 定義をエクスポートする。
    • これらの JSON 定義は、ポリシー ファイルのアップロード オプションを使用して、メインの条件付きアクセス ポリシー ページで編集およびインポートできます。

その他の一般的なポリシー

ユーザーの除外

条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。

  • ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスアカウントまたはブレークグラスアカウント。 すべての管理者がロックアウトされる可能性が低いシナリオでは、緊急アクセス管理者アカウントを使用してサインインし、アクセスを回復できます。
  • サービス アカウントサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型アカウントです。 通常、アプリケーションへのプログラムによるアクセスを許可するためにバックエンド サービスによって使用されますが、管理目的でシステムにサインインするためにも使用されます。 サービス プリンシパルによって行われた呼び出しは、ユーザーを対象とする条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
    • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合は、 それらをマネージド ID に置き換えます。

クラシック ポリシーからの移行

クラシック条件付きアクセス ポリシーは非推奨となり、2024 年 7 月 10 日以降に制御の適用が停止されます。 これらは廃止された Azure AD Graph サービスに依存し、リソースを保護することはできません。 テナントにまだクラシック ポリシーがある場合は、その設定を最新の条件付きアクセス ポリシーに移行します。

Warning

クラシック ポリシーを無効にした後は、再度有効にすることはできません。 ポリシーを無効にする前に、ポリシーの設定を文書化します。

クラシック ポリシーを移行するには:

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>クラシック ポリシー に移動します。
  3. クラシック ポリシーを選択し、その構成設定を文書化します。
  4. この記事で前述したテンプレートまたはカスタム ポリシーを使用して、設定を再作成します。 新しいポリシーを有効にする前に 、レポート専用モード でテストします。
  5. クラシック ポリシーに戻り、[ 無効] を選択します。

What If ツールは、環境内にクラシック ポリシーがまだ存在するかどうかを示します。

次のステップ