社外からのアクセスを禁止する方法

1. 事前準備

ポリシーの対象外とする場所 (今回の場合は社内 IP ) を、事前に設定します。

1-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

1-2. [Azure Active Directory] – [条件付きアクセス] – [名前付きの場所] に遷移します

1-3. [+ 新しい場所]  をクリックします

1-4. 以下のような画面が表示されますので、任意の名前で除外対象としたい IP アドレス (今回の場合は、社内 IP かと存じます) を設定し、[作成] をクリックします

2. 条件付きアクセスのポリシーを作成します

2-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

2-2. [Azure Active Directory] – [条件付きアクセス] に遷移します

2-3. [+ 新しいポリシー] をクリックします

2-4. 以下のような画面が表示されるので、必要な設定をしていきます

2-5. [名前] に任意の名前を設定します。

2-6. [割り当て] – [ユーザーとグループ] をクリックします。

以下のような画面が表示されますので、[ユーザーとグループ] にチェックを入れ、対象のユーザーを選択し、[完了] をクリックします。

* この時、[対象] で [すべてのユーザー] を選択し、[対象外] で管理者アカウントを追加することもできます。

2-7. [クラウド アプリ] をクリックして、[アプリを選択] をクリックします。

以下のような画面が表示されますので、Office 365 SharePoint Online を選択して、[完了] をクリックします。

* 「Office 365 SharePoint Online」 を選択することで、SharePoint Online と OneDrive が制御されることを確認しております。

2-8. [条件] をクリックして、[場所] – [構成] を 「はい」 にします。

[対象] タブで、[すべての場所] を選択します。

[対象外] タブで、[選択された場所] をクリックして、事前準備の手順 1-4 で作成した IP を選択し、[選択] をクリックします。

2-9. [アクセス制御] をクリックして、[アクセス権の付与] – [アクセスのブロック] にチェックを入れて、[選択] をクリックします。

2-10. ポリシーを即時有効にしたい場合は、[ポリシーの有効化] を [オン] にして、[作成] をクリックします。

上記ポリシーを作成することで、指定したユーザーは社外から SharePoint Online や OneDrive へのアクセスはブロックされます。まず、検証用アカウントなどでのご確認をお勧めいたします。

* 補足

Azure AD の条件付きアクセスをご利用いただくには、Azure AD Premium P1 や P2 のライセンスが、ポリシーの対象となるユーザー数分必要となります。(なお、ゲストユーザーは 1 ライセンスで、5 ゲスト ユーザーまで利用可能です。)