第9回 クラウドサービスへのアクセス制御(1)【MicrosoftのMVP解説！第一弾 Azure ADの虎の巻】

第6回から第8回まででAzure ADと様々なクラウドサービスを関連付け、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。このとき、アクセス許可の割り当てはユーザーまたはグループの単位で設定できることを紹介しました(OpenID Connect/OAuth2.0を使う場合は[承諾]ボタンを押せばアクセス許可の割り当てすら不要でした)。
ところが、クラウドサービスへのアクセス制御となると、いつでも、どこからでもアクセスできてしまうというセキュリティ上の課題があるため、単純にユーザー名とパスワードが正しければ無条件にアクセスしても良い、などとすることはできないでしょう。
こうした課題に対応するため、Azure ADではクラウドサービスへのアクセスに追加の条件を設定し、その条件をクリアしたユーザーだけがアクセスできるように制御する「条件付きアクセス」と呼ばれる機能を提供しています。
条件付きアクセスでは、クライアントがどこからアクセスしているか？や、クライアントデバイスのOSが何であるか？など、ユーザーアカウントを利用するデバイスの状態をベースにアクセス制御を行います。
具体的な処理フローは次の通りです。

条件付きアクセスでは、設定を適用するユーザーとグループ、クラウドアプリ(クラウドサービス)を最初に決定し、その後、クラウドサービスへのアクセス条件と許可/拒否を設定します。

それでは、具体的な設定方法を確認していきましょう。
条件付きアクセスの設定は、Azure管理ポータルの[Azure Active Directory]から[条件付きアクセス]をクリックして行います。[条件付きアクセス]画面では[新しいポリシー]をクリックして、ルールを作成します。

ポリシー作成画面では、最初にポリシーの名前、対象となるユーザー/グループ、クラウドアプリを選択します。ここでは、前回紹介したWebアプリケーションへのアクセスに条件付きアクセスを使ってアクセス制御設定をします。

続いて、ポリシーでは条件を設定します。ここでは「WindowsまたはiOS以外のすべてのOS」という条件を設定します。OS種類の設定は[条件]-[デバイスプラットフォーム]を利用します。条件設定画面では、対象外に設定したルールは対象に設定したルールよりも優先されるため、

対象：任意のデバイス
対象外：Windows, iOS

としておけば、「WindowsまたはiOS以外のすべてのOS」というルールになります。

なお、ここで設定した条件以外には、主に次のような条件を設定できます。

ここまでで設定した条件を満たしたときに、アクセスを許可するか、拒否するかを設定するのが[アクセス制御]-[許可]の項目です。このときに注意したいのが、「条件付きアクセスはエンタープライズアプリケーションで既に与えられたアクセス許可をブロックするためのルール」であるという点です。そのため、条件付きアクセスでは基本的にブロックするための条件を作成することになります。

それでは、ここまでで設定した条件を満たしたときにアクセスがブロックされるよう、[アクセスのブロック]を選択します。

そうすると、ここまでの設定により、

条件：WindowsまたはiOS以外のすべてのOS
許可：アクセスのブロック

ですから、結果として「WindowsまたはiOSからのアクセスのみ許可する」ということになります。
最後に[ポリシーの有効化]を[オン]にすれば出来上がりです。
では、この状態で、WindowsまたはiOS以外のデバイスからアクセスしてみましょう。
第8回で解説したWebアプリケーションにアクセスしようとすると、

ユーザー名とパスワードを正しく入力しても、ご覧のようにアクセスがブロックされることがわかります。
以上のように、条件付きアクセスを利用すれば、ユーザー/グループによるアクセス許可以外の条件でアクセス制御できることがお分かりいただけます。
次回は会社支給のデバイスのみアクセスを許可する条件付きアクセスポリシーを作ってみますので、お楽しみに。

▼▼ 過去記事はこちら ▼▼
第7回 Azure ADによるクラウドサービスの管理(2)【MicrosoftのMVP解説！Azure ADの虎の巻】
第8回 Azure ADによるクラウドサービスの管理(3)【MicrosoftのMVP解説！Azure ADの虎の巻】

▼▼ 別シリーズのブログ記事もチェック！ ▼▼
【MicrosoftのMVP解説！Active Directoryのハウツー読本】第1回 Active Directoryの必要性