AzureActiveDirectory

社外からのアクセスはMFA(多要素認証)を要求する

・社内のネットワークからはMFA(多要素認証)は要求されない
・社外のネットワークからはMFA(多要素認証)が要求される

1. Azure ポータルに (https://portal.azure.com) Azure AD のグローバル管理者アカウントでサインインします。

2. 左メニューの [Azure Active Directory] をクリックします。

3. [セキュリティ] – [ネームド ロケーション] をクリックします。

4. [新しい場所] をクリックします。

5. [名前] に任意の名前を入力します。

6. [IP 範囲] に Azure AD へのアクセスを許可するアクセス元のグローバル IP アドレス範囲 (今回の場合、会社のグローバル IP) を入力します。(例: 10.0.0.1/32)

7. [作成] をクリックします。

8. [条件付きアクセス] をクリックします。

9. [新しいポリシー] をクリックします。

10. [名前] に任意の名前を入力します。

11. [ユーザーとグループ] の [対象] タブで 管理者を複数または管理者グループを指定します。

12. [完了] をクリックします。

13. [クラウド アプリ] の [対象]タブで、「Office 365 SharePoint Online 」と「Office 365 Exchange Online 」を選択します。

14. [条件] で [場所] を選択し、次の設定をします。

    ・ 構成:”はい” を選択します

    ・ [対象] タブ:”すべての場所” をチェックします

    ・ [対象外] タブ:”選択された場所” をチェックし、作成したネームド ロケーション (名前付きの場所) を選択します。

15. [アクセス制御] で「多要素認証を要求する」を選択します。

16. [ポリシーの有効化] をオンにします。

Outlookアプリへ個人アカウントの追加を禁止する

想定されるケース

・個人用スマホを業務で使用しているケース

防ぐことができるケース

・個人用メールアカウントを追加できないので個人用アドレスを使用した情報漏洩の可能性が低くなる

Outlookアプリからアカウントを追加します。

個人用のGmailのアドレスを入力します。

パスワードを入力し、ログインします。

Gmailアカウントへのアクセスのリクエストが開始されます。

組織から許可されていませんと表示され、個人用メールアカウントを追加することができません。

社外からのアクセスを禁止する方法

1. 事前準備

ポリシーの対象外とする場所 (今回の場合は社内 IP ) を、事前に設定します。

1-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

1-2. [Azure Active Directory] – [条件付きアクセス] – [名前付きの場所] に遷移します

1-3. [+ 新しい場所]  をクリックします

1-4. 以下のような画面が表示されますので、任意の名前で除外対象としたい IP アドレス (今回の場合は、社内 IP かと存じます) を設定し、[作成] をクリックします

2. 条件付きアクセスのポリシーを作成します

2-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

2-2. [Azure Active Directory] – [条件付きアクセス] に遷移します

2-3. [+ 新しいポリシー] をクリックします

2-4. 以下のような画面が表示されるので、必要な設定をしていきます

2-5. [名前] に任意の名前を設定します。

2-6. [割り当て] – [ユーザーとグループ] をクリックします。

以下のような画面が表示されますので、[ユーザーとグループ] にチェックを入れ、対象のユーザーを選択し、[完了] をクリックします。

* この時、[対象] で [すべてのユーザー] を選択し、[対象外] で管理者アカウントを追加することもできます。

2-7. [クラウド アプリ] をクリックして、[アプリを選択] をクリックします。

以下のような画面が表示されますので、Office 365 SharePoint Online を選択して、[完了] をクリックします。

* 「Office 365 SharePoint Online」 を選択することで、SharePoint Online と OneDrive が制御されることを確認しております。

2-8. [条件] をクリックして、[場所] – [構成] を 「はい」 にします。

[対象] タブで、[すべての場所] を選択します。

[対象外] タブで、[選択された場所] をクリックして、事前準備の手順 1-4 で作成した IP を選択し、[選択] をクリックします。

2-9. [アクセス制御] をクリックして、[アクセス権の付与] – [アクセスのブロック] にチェックを入れて、[選択] をクリックします。

2-10. ポリシーを即時有効にしたい場合は、[ポリシーの有効化] を [オン] にして、[作成] をクリックします。

上記ポリシーを作成することで、指定したユーザーは社外から SharePoint Online や OneDrive へのアクセスはブロックされます。まず、検証用アカウントなどでのご確認をお勧めいたします。

* 補足

Azure AD の条件付きアクセスをご利用いただくには、Azure AD Premium P1 や P2 のライセンスが、ポリシーの対象となるユーザー数分必要となります。(なお、ゲストユーザーは 1 ライセンスで、5 ゲスト ユーザーまで利用可能です。)