Microsoft Entra IDの条件付きアクセスとは?
Microsoft Entra IDの条件付きアクセスとは、アクセス要求に基づき、組織のリソースへのアクセス可否を動的に制御する、Microsoft Entra IDの機能です。
これは、「誰が」「どこから」「どのデバイスで」「何に」アクセスしようとしているかといった複数の条件をリアルタイムで評価し、「アクセスを許可する」「多要素認証を要求する」「アクセスをブロックする」といった決定を自動で適用するポリシーエンジンとして機能します。
アクセスの場所だけでなく、ユーザーのID、デバイスの状態といった多角的な情報から、アクセス要求一つひとつの信頼性を都度評価することで、社外ネットワークからの安全なアクセスを実現しています。
また条件付きアクセスは、常時検証を必要とするセキュリティモデル、ゼロトラストを実現するための中核的な技術として提供されています。
Microsoft Entra IDの多要素認証について詳しくは、以下の記事をご覧ください。
▶︎Microsoft Entra IDの多要素認証を徹底解説:認証方法の比較から運用ポイントまで
Microsoft Entra IDとは?
Microsoft Entra IDは、クラウド上でIDとリソースへのアクセスを管理するサービスです。もともとは「Azure Active Directory(Azure AD)」という名称で提供されていましたが、2023年に改称されました。この変更には、単なるID管理にとどまらず、アクセス制御やIDガバナンスを含む包括的なセキュリティ基盤として位置付けるというMicrosoftの意図があります。
Entra IDは、組織内のユーザー、デバイス、アプリケーション、その他のリソースへのアクセスを安全に制御する中心的な役割を担います。Microsoft 365やAzureなどの自社クラウドサービスはもちろん、Google WorkspaceやSlackといったサードパーティ製アプリケーションにも認証基盤として利用できます。
従来のオンプレミス環境で使われてきたActive Directoryが「社内ネットワーク内でのアクセス管理」を目的としていたのに対し、Entra IDは「クラウドサービスへのインターネット経由のアクセス」を前提に設計されている点が大きな違いです。
【関連記事】
▶︎Microsoft Entra IDとは?Azure ADとの違い、機能、ライセンスを徹底解説
また、オンプレミス環境とクラウド環境を併用したハイブリッド構成では、Microsoft Entra Connectを利用することで、オンプレミスのActive DirectoryとMicrosoft Entra IDを同期させることができます。
このツールを活用することで、統一されたID管理を実現し、シームレスな運用が可能になります。
Microsoft Entra Connectについて詳しくは、以下の記事をご覧ください。
▶︎Microsoft Entra Connectとは?オンプレミスADとクラウドを統合する方法を解説
Microsoft Entra IDの条件付きアクセスの主な機能
ここでは、条件付きアクセスポリシーを構成する主要な機能、「条件」と「アクセス制御」について具体的にご説明します。
ポリシーは、アクセス要求の状況を示す条件を評価し、その結果に基づいてアクセスを制御するという構造になっています。
Microsoft Entra ID 条件付きアクセスの概念図 (参考:Microsoft)
条件とは
条件は、ポリシーが評価する入力情報です。これらを組み合わせることで、アクセスのコンテキストを詳細に把握し、きめ細やかなポリシーを作成できます。
例えば、「経理部のメンバーが」「オフィスの外から」「個人所有のスマートフォンで」「会計システムにアクセスしようとしている」といった具体的な状況を定義できます。
以下に、主な条件をまとめた表を示します。
カテゴリ | 条件 | 説明 |
|---|---|---|
ユーザーとグループ | ユーザー/グループメンバーシップ、ディレクトリロール | 特定のユーザー、特定の部署のグループ、または特定の役割を持つユーザーを対象にポリシーを適用します。 |
場所 | IPアドレス、国/地域 | 事前に定義した信頼できるIPアドレス範囲や、特定の国/地域からのアクセスを条件として指定できます。 |
デバイス | デバイスプラットフォーム、デバイスの状態 | Windows, macOS, iOS, AndroidといったOSの種類や、デバイスが組織のセキュリティポリシーに準拠しているかを条件にできます。 |
クライアントアプリ | ブラウザー、モバイルアプリ、デスクトップクライアント | ユーザーがアクセスに使用しているアプリケーションの種類(Webブラウザー、Outlookデスクトップアプリなど)を条件に指定できます。 |
アプリケーション | クラウドアプリ、ユーザー操作 | ポリシーの対象となる特定のクラウドアプリケーション(Microsoft 365、Slackなど)や、「セキュリティ情報の登録」といった特定の操作を指定します。 |
リアルタイムリスク | サインインリスク、ユーザーリスク | Microsoft Entra ID Protectionと連携し、異常なサインインや、侵害された可能性のあるアカウントを条件にできます。 |
アクセス制御とは
アクセス制御は、条件を評価した結果、ポリシーが実行するアクションです。アクセスを許可するかブロックするか、また許可する場合にどのような条件を課すかを定義します。
大きく分けて二つの制御があり、一つは認証時に適用される制御、もう一つはセッション中に適用される制御です。
以下に、主なアクセス制御をまとめた表を示します。
制御の種類 | 具体的なアクション | 説明 |
|---|---|---|
アクセスのブロック | アクセスをブロック | 条件に合致した場合、リソースへのアクセスを完全に拒否します。 |
アクセスの許可 | 多要素認証を要求する | スワードに加え、スマートフォンアプリへの通知やSMSコードなど、追加の認証をユーザーに要求します。 |
デバイスは準拠済みとしてマーク済みである必要がある | Microsoft Intuneなどのデバイス管理ツールによって、組織のセキュリティポリシーに準拠しているとマークされたデバイスからのアクセスのみを許可します。 | |
Microsoft Entra ハイブリッド参加済みデバイスが必要 | オンプレミスのActive DirectoryとMicrosoft Entra IDの両方に参加している、組織管理のデバイスであることを要求します。 | |
承認済みクライアントアプリを必須にする | Microsoft Outlook Mobileなど、組織が承認し、データ保護ポリシーを適用できる特定のアプリケーションからのアクセスのみを許可します。 | |
アプリの保護ポリシーを必須にする | アプリ内でのコピー&ペーストの禁止など、モバイルアプリのデータを保護するためのポリシーが適用されていることを要求します。 | |
利用規約が必須 | アクセスする前に、ユーザーが組織の利用規約に同意することを要求します | |
セッションの制御 | アプリによって適用される制限を使用する | Microsoft Defender for Cloud Appsと連携してリアルタイムのセッション監視を行います。 |
サインインの頻度を制限する | 再認証を要求する頻度(例:1時間ごと)を制御します |
Microsoft Entra IDの条件付きアクセスの料金
2025年9月現在、Microsoft Entra IDの条件付きアクセスの利用には、Microsoft Entra ID P1以上の料金プランの契約が必要です。
Microsoft Entra ID Freeプランでは条件付きアクセスは利用できません。
Microsoft Entra IDには、「Microsoft Entra ID P1とMicrosoft Entra ID P2の2つの料金プランが存在します。以下の表はそれぞれのプランの違いを示したものです。
プラン | 価格 | エンタープライズ向けサブスクリプションとのバンドル |
|---|---|---|
Microsoft Entra ID P1 | ¥899 /ユーザー/月 1か月間の無料トライアル | Microsoft 365 E3、Microsoft 365 Business Premium |
Microsoft Entra ID P2 | $¥1,349 /ユーザー/月 1か月間の無料トライアル | Microsoft 365 E5 |
契約しているMicrosoft 365のサブスクリプションによっては、スタンドアロンでのMicrosoft Entra IDの契約が不要な場合もあるため、サブスクリプションの内容を契約前に確認しましょう。
※上記の内容は2025年10月時点の情報です。最新情報はMicrosoft Entra IDの公式料金表をご確認ください。
Microsoft Entra IDの条件付きアクセスの利用手順
それでは実際に、Microsoft Entra IDで条件付きアクセスを設定する手順をご説明します。
1. Microsoft Entra 管理センターにアクセス
まずは、条件付きアクセス管理者以上の権限を持つアカウントでMicrosoft Entra 管理センターにアクセスしましょう。
Microsoft Entra 管理センターにアクセス
2. 条件付きアクセスの管理
上部の検索バーで「条件付きアクセス」と検索し、「Microsoft Entra 条件付きアクセス」を選択します。
条件付きアクセスの管理
3. 新しいポリシーの作成
「新しいポリシーの作成」を選択し、ポリシーの名前を入力します。
新しいポリシーの作成 (参考:Microsoft)
4. ポリシーの設定
ユーザーとグループや、ポリシーを適用する条件、アクセス制御の内容を決定しましょう。
「レポートのみ」を選択することで、サインインログからポリシーを適用した際の影響を確認できます。
ポリシーの設定 (参考:Microsoft)
上記のステップで、条件付きアクセスを設定することができます。
アクセス制御に多要素認証を要求する際の詳しい手順は、Microsoft公式ドキュメントや、前述の関連記事をご覧ください。
Microsoft Entra IDの条件付きアクセスを利用する上でのポイント
条件付きアクセスの効果を引き出し、安全に運用するためにはいくつかのベストプラクティスが存在します。ここでは、実務で役立つ使い方のコツをご紹介します。
レポート専用モードとWhat Ifツールの活用
新しいポリシーや変更を加えたポリシーは、レポート専用モードで展開し、想定外のユーザーに影響が出ないかをサインインログで十分に確認しましょう。
What Ifツールは、特定のユーザーが特定の条件下でサインインした場合に、どのポリシーが適用されるかをシミュレーションできる機能です。ポリシーの競合や意図しない動作のトラブルシューティングに有効です。
ベースラインポリシーの設計
「アクセスするリソースに関わらず、特定の条件(例: 信頼できない場所)からのアクセスには多要素認証を要求する」といった、組織全体の最低限のセキュリティ基準を定めるベースラインポリシーを作成することが推奨されます。
新しいアプリケーションが追加された際に、デフォルトでセキュリティが確保されている状態を作り出すことで、セキュリティホールとなる事態を防ぎます。
サービスアカウントへの影響を考慮
ユーザーの操作を伴わない非対話的サインインを行うサービスアカウントは、多要素認証などの対話型制御を完了できません。これらのアカウントはポリシーから除外するか、サービスアカウント用の条件付きアクセスを別途検討する必要があります。
セキュアなアクセスのために有効な条件付きアクセスポリシーですが、ユーザビリティとセキュリティを両立した使い方が重要です。
Microsoft Entra IDの条件付きアクセスの活用シーン
条件付きアクセスは、組織が直面するさまざまなセキュリティ課題に対応できる柔軟なツールです。このセクションでは、具体的な活用シーンをご紹介します。
管理者アカウントの乗っ取り防止
管理者ロールを持ったアカウントを条件に、すべてのアクセスで多要素認証を要求します。
これにより、機密情報やアクセスポリシーの変更が可能な特権アカウントのセキュリティを強化し、万が一パスワードが漏洩しても不正アクセスを阻止することができます。
BYOD(私物端末利用)のセキュリティ確保
Microsoft 365など、業務で使用するアプリケーションへのアクセスを条件に、承認済みクライアントアプリとアプリ保護ポリシーを要求します。
個人所有のスマートフォンなど、組織の管理下にないデバイスからのアクセスを許可しつつ、アプリ内でのデータコピーを禁止するなど、情報漏洩リスクを低減します。
レガシ認証プロトコルの無効化
古い認証プロトコル(POP, IMAP, SMTPなど)を使用しているクライアントアプリからのアクセスを条件に、アクセスをブロックします。
パスワードスプレー攻撃などのセキュリティリスクを防ぎ、多要素認証といった最新のプロトコルを強制することで、システム全体のセキュリティを向上させます。
これらの活用例は、組織の従業員だけでなく、外部の協力会社や、自動化処理で使われるサービスアカウントなど、Microsoft Entra IDが管理するすべてのIDに適用できます。これにより、組織のエコシステム全体を包括的に保護する、統一されたポリシーエンジンとして機能します。
Microsoft Entra IDの条件付きアクセス利用時の注意点
条件付きアクセスは組織のセキュリティを向上させる一方で、設定や運用には注意が必要です。ここでは、特に注意すべき点を解説します。
緊急アクセス用アカウントの除外
条件付きアクセスポリシーの構成ミスにより、すべての管理者がテナントからロックアウトされる事態を防ぐため、最低でも1つの緊急アクセス用アカウントを作成し、すべての条件付きアクセスポリシーから除外してください。
緊急アクセス用アカウントは、設定ミスという障害から回復するための、計画的な安全策です。このアカウントは、オンプレミスと同期せず、強固なパスワードを設定して保管しましょう。
セキュリティの既定値群との併用不可
Microsoft Entra IDには、多要素認証などの基本的なセキュリティ設定を簡単に有効化できるセキュリティの既定値群という機能があります。条件付きアクセスポリシーを1つでも有効にすると、この既定値群は自動的に無効になり、両者を併用することはできません。
特定のクライアントやシナリオでの制限
一部の古いOfficeクライアントや、特定のPowerShellモジュールなどは、最新の認証に対応しておらず、条件付きアクセスポリシーと互換性がない場合があります。また、カスタムコントロールなどのプレビュー機能は、多要素認証やセルフサービスパスワードリセットと併用できないといった制限が存在します。導入前には、利用しているアプリケーションとの互換性を確認することが重要です。
まとめ
本記事では、条件付きアクセスの基本的な仕組みから、設定手順、活用例、注意点までを詳しく解説しました。
Microsoft Entra IDの条件付きアクセスは、ゼロトラストセキュリティを実現するための重要な機能であり、アクセスの状況に応じた、柔軟な条件の設定とアクセス制御を可能にします。
条件付きアクセスを効果的に活用することで、組織のセキュリティを強化しつつ、ユーザーの利便性を損なわない運用が可能です。導入にあたっては、ポリシーの影響範囲を十分に検証し、緊急アクセス用アカウントの設定や既存システムとの互換性の確認を行いましょう。
Microsoft Entra IDの条件付きアクセスを活用して、より安全で効率的なIT環境を実現しましょう。
東京エレクトロンデバイスは、企業のAzure導入を支援しています。
お問い合わせはこちら
