Azure AD (Office 365) で条件付きアクセス ポリシーを設定する方法

今日の組織は、メンテナンスコストが高い従来のインフラストラクチャを多用したモデルよりも、クラウドベースのモデルを好みます。クラウド コンピューティングにより、ビジネスにとって重要な企業文書やデータへのアクセスを監視することが困難になりました。以前は、IT チームはすべての企業データとドキュメントへのアクセスを企業ファイアウォールの内側に予約し、ネットワーク上の承認されたソースとデバイスにのみアクセスを許可していました。現在、組織が個人デバイス持ち込み (BYOD) ポリシーを採用しているため、ユーザー デバイスにアクセスを許可する必要があるかどうかを決定するには、条件付きアクセスが最適に機能します。

条件付きアクセスとは何ですか?

条件付きアクセスは、どのデバイスが企業データ、ビジネス電子メール、その他のリソースにアクセスできるかを制御する一連の IT 管理ポリシーです。これは、設定されたポリシーに設定されたデバイスまたはユーザーにのみアクセスを許可する Microsoft Azure AD の機能です。これは、Office 365 アプリケーション スイートだけでなく、Azure Active Directory (AD) と統合されるモバイル デバイス管理 (MDM) ソリューションなどの SaaS 製品ともうまく連携します。

条件付きアクセス システムを使用すると、セキュリティ制御を管理するための条件を作成できます。 BYOD 導入に最適です。で BYODのセットアップ、企業データは従業員の個人デバイスに公開されたままであり、MDM に登録されていない場合は侵害される可能性があります。 Azure AD と統合された MDM ソリューションは、IT 管理者が企業データを保護し、不正アクセスを防ぐための条件付きアクセス ポリシーを定義するのに役立ちます。 ID 保護の使用 ビジネスメールに。 Exchange Online の電子メール アクセスがブロックされると、企業のドライブ、ファイル、フォルダーへのアクセスがさらにブロックされます。 

条件付きアクセスの必要性と利点

現在、企業の業務に使用されるデバイスは、次のいずれかによって所有されています。 会社 (COPE) または従業員 (BYOD)。 IT 管理者が企業データを保護するためにデバイスを個別に制御するのは非常に面倒で、手作業が多くなります。条件付きアクセス用に Office 365 と統合された MDM により、ユーザーが自分のデバイスを組織の MDM ソフトウェアに登録することが強制されるため、IT 管理者のタスクが容易になります。これを行わないと、条件付きアクセスは未登録のデバイスに適用されず、ユーザーのアクセスが制限されます。 ビジネスメール そしてデータ。

パスワードは、デジタル データに最も高いリスクをもたらす不正アクセスやハッキング メカニズムから保護するには不十分になってきています。研究によると、約 サイバー攻撃の 81% 脆弱なパスワードまたは盗まれたパスワードが原因で発生します。このようなデバイスには追加のセキュリティ層が欠如しており、条件付きアクセスは、組織全体のサイバーセキュリティを強化する追加のセキュリティです。

条件付きアクセスは、組織がセキュリティ制御を管理するための最良の方法です。 MDM を使用したポリシーの適用。アクセスを自動化し、組織のセキュリティ メカニズムを強化することで IT チームの作業を簡素化します。その利点の一部を次に示します。

A. 条件付きアクセスは、ログイン場所の追跡やデバイス ID の確認などの要素を組み込むことで、システムのセキュリティを強化します。

B. 特定の条件が満たされない場合にデータへのアクセスを制限することで、デバイス上のデータを保護します。たとえば、IT 管理者によって事前に定義され、セキュリティ パラメーターとして設定された地理的領域外からデバイスが情報にアクセスしようとすると、ユーザー アクセスはブロックされます。 

C. IT 管理者は、特定のデータにアクセスするための防御線を設定できます。たとえば、特定の役割に関連するデータには、役割固有の従業員のみがアクセスできます。 IT 管理者は、承認されたソースのみにアプリやドキュメントをダウンロードする制限を設定することもできます。

D. 2 要素認証 (XNUMXFA) や多要素認証などの保護ポリシーを設定して、より高いレベルの可視性とアクセス制御を実現できます。

E. 条件付きアクセス ポリシーに関する通知は、異常なアクティビティ パターンを観察するのに役立ち、リスクの軽減に貢献します。

F. アクセスの制御により、組織の設定されたセキュリティ ポリシーへのデバイスのコンプライアンスも向上します。

G. 企業情報に追加の安全バッファを追加し、許可されたデバイスのみがデータやアプリにアクセスできるようにします。

条件付きアクセス ポリシーで必須となる重要な要素

条件付きアクセスのアクティブ化には、割り当て、アクセス制御、ポリシーの有効化という 3 つの重要な要素が含まれます。

割り当て：

この部分は、ポリシー設定を開始するために何が true である必要があるかを定義します。これは、以下の 3 つの領域に分散できます。

• ユーザーとグループ - この領域では、ポリシーに含めるユーザーまたは除外するユーザーを指定します。このポリシーは、すべての個々のユーザーまたはユーザーのグループに適用される場合があります。  
• クラウド アプリまたはアクション - クラウド環境内のどのアプリまたはアクションをポリシーに含めるか除外するかを指定できます。たとえば、Office 365 にアクセスするポリシーと他のアプリにアクセスするポリシーに異なるポリシーを適用できます。
• 条件 - アクセスを許可するために条件を設定できます。これは「シグナル」とも呼ばれます。これらには、可視性と制御を高めるための特定のデバイスの場所、ネットワーク、デバイス OS、および ID 認証が含まれる場合があります。

アクセス制御：

割り当てが満たされている場合でも、依然として制御が必要です。オプションの 1 つは、機密性の高いアプリや不審な場所からのデータへのアクセスが含まれる場合は、単純にアクセスをブロックすることです。さらに、デバイスが準拠していない発生を減らすために、危険なサインイン動作を特定し、多要素認証 (MFA) を使用して適切なアクセスを許可したい場合もあります。

ポリシーの有効化:

ポリシーを運用する前に、望ましいアクションを明確にすることが重要です。ポリシーは、きめ細かい制御により複雑になる場合があります。単一のデバイスでの結果は、予想とは異なる場合があります。ポリシーを展開する前にテストして、期待した結果が得られるかどうかを理解することが重要です。ポリシーの有効化は、アクセス関連の洞察とレポートをテストして取得し、新しいポリシーの影響を評価するのに役立ちます。テストに合格すると、管理者は手動でポリシーを有効にしてアクティブにするか、ポリシーをオフにします。

Scalefusion での Azure AD の条件付きアクセスのデプロイ

Scalefusion は、Azure AD (Office 365) の条件付きアクセスをセットアップするために次の構成を提供します。

ステップ 1: デフォルトのグローバル アクセス ポリシー

IT 管理者は、デフォルトですべての新規ユーザーを隔離し、ユーザーがデバイスを Scalefusion に登録しない限り、Office 365 経由の電子メールへのアクセスを制限できます。ユーザーが Scalefusion にデバイスを登録したら、デバイスへのアクセスを許可する前に、IT 管理者が設定した条件を満たす必要があります。

ステップ 2: 猶予期間

Scalefusion では、すべての既存および新規ユーザーに、デバイスを登録してアクセス管理の資格を取得し、隔離モードを解除するために 15 ～ 30 日間の猶予期間を設けています。

ステップ 3: 対象ユーザー

IT 管理者は、条件付きアクセス ポリシー ターゲットの従業員リスト全体を Azure AD からインポートでき、これらのユーザーは Scalefusion に登録した後でのみ企業の電子メールとデータにアクセスできるようになります。 

ステップ 4: リマインダー電子メールのテンプレート

IT 管理者は、Scalefusion ダッシュボードから電子メールの内容をカスタマイズし、デバイスの登録に関するリマインダーを送信する頻度を設定できます。

ステップ 5: ポリシーを確認して送信する

ポリシーは複雑になる場合があり、テストしてレポートを入手しない限り、ポリシーのアクションを確信することはできません。 Scalefusion は、IT 管理者が条件付きアクセスの対象となるデバイスにポリシーを送信する前に確認できる、構成されたポリシーの統合された概要を提供します。

まとめ

Azure AD を使用した Scalefusion の条件付きアクセスは、厳しい制限によって追加のセキュリティ層を強制するため、組織にとって価値があります。すべての組織は、情報を手動でほとんど処理することなく、自動化されたベースでビジネス データが常に安全であることを保証するために、適切なポリシーを展開する必要があります。効果的なセキュリティ慣行が組織に導入されると、サイバー攻撃によるリスク レベルが軽減され、企業のシステムがスムーズに稼働するようになります。