Azure AD条件付きアクセスを迅速に展開するためのヒント集

リモートワーク環境の早急な整備

新型コロナウィルス(COVID-19)の影響が日に日に深刻化していっている中、リモートワーク環境の早急な用意が各企業に求められているように感じます。

既存のVPN設備のみで業務が回ればそのままフルリモートで構わないと個人的には思いますが、VPN設備自体が全社員一斉のリモートワークや、Office 365をはじめとしたクラウドサービスへの接続を考慮に入れた設計になっていないことが多いと思います。

結果、VPNやネットワーク機器のキャパシティ不足、Web会議のようなリアルタイム通信系の通話やビデオのシステムで社内ほどのパフォーマンスが出ない、などのユーザークレームがあがり課題となることも多いかと存じます。

以前紹介したVPN利用時にいくつかのURLやIPレンジ、ポートをスプリットトンネリングすること(こちら)でこれらの問題を解消できる可能性はありますが、そもそもVPNを使わせずに各社員にインターネットを通してクラウドサービスにアクセスさせたい場合はAzure ADの条件付きアクセスを使うことになります。

Azure AD条件付きアクセスをすぐに展開するためのTips集

FAQ形式で、Microsoftが条件付きアクセスを迅速に展開するためのヒント集を公開しました。

Frequent questions about using Conditional Access to secure remote access

Industry trends and changes in the way we work usually span years, with organizations evolving at their own pace. But we’re living in unusual times. Organizations asking employees to work from home to slow the spread of COVID-19 are making huge organizational and process changes in a matter of we…

実際に条件付きアクセスのサンプル設定やトラブルシュート方法も併せて記載されているので条件付きアクセスをすぐに展開したい、あるいは展開したが設定に不備がありそう、より良くしたいという場合に役立つ情報になっていると思います。

上記サイトには以下のようなことが各機能詳細ページへのリンク付きで載っています。

在宅従業員にMFA(多要素認証)をセットアップするには?

  • セルフサービスパスワードリセット(SSPR)
  • 登録可能端末の制限
  • MFA登録可能時間帯の制限
  • MFA Authentication method analyzer

社外からいろんな端末でアクセスがあるので制限したいんだけど?

  • Microsoft Endpoint Manager (Intune)
  • Hybrid Azure AD join
  • SPOやEXOで許可外端末へのダウンロード制限
  • その他クラウドサービスはMCASと連携してダウンロード制限

速攻で条件付きアクセスを展開したいんだけど?

  • report-onlyモードで一定期間設定に大きな問題が出なそうかを確認する
  • AADサインインログや条件付きアクセスのWhat Ifツールでトラブルシューティングする
  • MFAの要求を最低限にしユーザーの利便性を確保するためのヒント

条件付きアクセスでOffice 365だけ許可して他のクラウドサービスは全部ブロックしたいんだけど?

  • 非常用アカウントを除くすべてのユーザーをブロックするようなポリシーを作るサンプル

VPN利用ユーザーはどうすればいい?

オンプレミスのアプリやリソースにVPNなしでアクセスさせる方法はないの?

  • Azure AD Application Proxy

まとめ

今までに経験したことのない非常事態でリモートワークへの需要は一気に高まっています。条件付きアクセスの実装を検討、あるいは実装済みの組織でも役に立ちそうな情報がまとまっていますのでご参考までに。

コメント

コメントを投稿

Popular Posts

Outlookの検索フォルダー(Search Folders)配下に未読で件名が空のメールが 沢山ある

見に覚えのない未読メールが数千も? 数千の未読メールが検索フォルダー配下の未読のメールに表示されることがあるそうです。 発生するのはOutlook2013以降。 Outlook の検索フォルダーに、件名が空白の予期しないメール アイテムが表示されます。 – Outlook Outlook 2013、Outlook 2016、Outlook 2019 または Outlook Office 365 ですべてのメール アイテム用の検索フォルダーを作成すると、フォルダーに件名が空白の予期しないアイテムが含まれます。 これらの項目にマウスを移動すると、次の情報が表示されます。 フォルダー内: PersonMetadata PersonMetadata フォルダは、 Outlook Customer Manager (OCM) によって作成および使用されます。 フォルダーは通常、Outlook ユーザー インターフェイスの他の部分から隠されています。 ただし、検索フォルダーには、このフォルダーのメール アイテムが含まれます。 これらの項目には空白の件名がありますが、OCM によってアクティブに使用されているため、削除または変更しないでください。 検索フォルダーの制約により、隠しフォルダー内のメール アイテムが含まれます。 廃止後も、PersonMetaData フォルダーとその中のアイテムは期間限定で使用できます。 このフォルダー内のアイテムを変更または削除すると、アイテムが再作成されたり、新しいアイテムが表示されたりする場合があります。 近い将来にサービスが変更されると、PersonMetaData フォルダーとそのアイテムがサービスから削除されます。 それまでは、次の回避策を使用して、非表示フォルダーのメールアイテムが検索結果に含まれないようにしてください。 [検索フォルダー] を右クリックし、[この検索フォルダーのカスタマイズ] をクリックします。 [参照] をクリックし、[サブフォルダの検索] オプションの選択を解除します。 含めるフォルダを手動で選択します。 要諦 検索フォルダー(Search Folders)下では、通常では見えないPersonMetaDataフォルダーとその中のアイテムが表示されてしまう。これはシステムが利用するものなので消してもまた出てきてしまう...
Read more »

[Exchange] 会議室の予定が主催者の名前になってしまうのが嫌な場合

Teams Roomsシステムとかで使ったり ExchangeやExchange Online上でリソースメールボックスを作り、会議室としてユーザーにOutlookやOWAから予約させたり予定を確認してもらうことがあります。Teams Roomsシステムなど、Teamsと連携した会議室システムの導入も増えてリソースメールボックスの作成も増えてるかもしれません。 Microsoft Teams Rooms 主催者の名前じゃなくて会議のSubject(タイトル)を見せたい デフォルトでリソースメールボックスの予定表は、予約された会議のSubject(タイトル)ではなく、予約者の表示名になります。 これは会議室を確認・予約しようとするユーザーが不特定多数いる場合を考えると、センシティブであったりショッキングな会議タイトルを秘匿できるので有用な設定です。 (”人員削減計画会議”とか”A社買収の計画について”とか見せたくないと思うので) しかし場合によっては予約者ではなく会議のタイトルが見える方がありがたい場合もあります。 そうした場合は会議室であるリソースメールボックスの以下の設定をを変更します。リソースメールボックスとして他にも設定しそうなパラメーターと共に紹介します。 Cmdlet Set-CalendarProcessing <リソースメールボックスの名前> Parameter -BookingWindowInDays 何日後の予定まで予約可能か -MaximumDurationInMinutes 1会議の最長時間を分で -AutomateProcessing 予約を自動で承諾、処理するか 選択肢はNone, AutoUpdate, AutoAccept オンプレミスかExchange Onlineか、GUIかPowerShellでデフォルト値が異なるようです。 -DeleteSubject 予約のSubject(タイトル)を削除するか この値がデフォルトTrueなので作ったまんまだと会議のタイトルはリソースメールボックス上の予定には表示されません。 -AddOrganizerToSubject 予約者の表示名を予約のSubject(タイトル)に追加するか この値がデフォルトTrueなので予約のタイトルには予約...
Read more »

Edge (Chromium版) で個人アカウントでのサインインを禁止する

Edgeに個人アカウントでのサインインをブロックする Block personal accounts from syncing in Microsoft Edge with Microsoft Intune | Peter Klapwijk – In The cloud 24-7 Today another blog post related to the new Microsoft Edge Chromium based browser and managing the browser with Microsoft Intune (Microsoft Endpoint Manager). This time about blocking personal accounts from syncing in Microsoft Edge. In the new Edge browser we have to option to sign-in to the browser and sync data like Favorites, Passwords and more. Chromium版Edge Chromium版のEdgeが数ヶ月前に正式リリースされました。Chromium版になってから動作が速くなったり、シンプルなUIでわりといいんじゃないでしょうか。特に自社Office 365内をインターネットと同じ感覚で検索できるMicrosoft Searchは便利ですね。 こうなってくると社内標準ブラウザーを定めている企業で標準のEdgeへの変更も大分視野に入ってくるのではないでしょうか、特に標準がまだIEだったりすると先がなさそうですからね。 個人的には依然EdgeよりChromeが好きなんですが、Office 365などと使うのにMicrosoft製のブラウザーの方が将来的に安心な気もするので業務利用ならEdgeでもいいかなと思います。 Edgeはサインインできます このEdgeですが、AADアカウントや個人のマイクロソフトアカウントでサインインができます。 ChromeやFirefoxをお使いなら想像がつくかと思いますが、お気に入り、アクセス履歴、パスワードなどをアカウントごとに同期できるので、同一アカウントでサインインすれば会社のEdgeでお気に入りに...
Read more »