SaaS

【Microsoft Entra】公式から条件付きアクセスの展開ガイダンス機能が出たので使ってみた

はじめに

こんにちは。先日、山形日帰り弾丸旅行した際に食べた「冷たい肉そば」が美味しすぎたので、都内で食べられるお店を探しているIdentityチームのすかんくです。

今回はMicrosoft FastTrackチームが公開した “条件付きアクセスの高度な展開ガイド” 機能を試してみた感想をまとめたいと思います。

FastTrack for Microsoft 365とは

Microsoft 365ライセンスを150シート以上契約している利用者向けに無償で提供されるサービスです。機能活用のガイダンス提供や、専門チームからのサポートを受けることができます。
https://learn.microsoft.com/ja-jp/microsoft-365/fasttrack/introduction

展開方法

① 管理者ユーザーでMicrosoft 365管理センター(https://admin.microsoft.com/)へログインします

② [セットアップ] – [サインインとセキュリティ] – [条件付きアクセス (CA) ポリシー テンプレートを展開する] を開き、[始める] をクリックします

③ まず初めに “緊急アクセス アカウント(Break Glass Account)” の作成を勧められます

④ 次に、展開するポリシーテンプレートを選択するし、[次へ] をクリックします

  • [カテゴリの定義を確認する] から、各テンプレートで展開されるポリシーの概要を確認することができます
  • 今回は [ゼロ トラスト(推奨)] を選択してみます(どのあたりがゼロトラストなのかは不明ですが)

⑤ 作成するポリシーと、有効化状態を選択します

  • 今回は全ポリシーを作成し、[レポートのみ] として展開するよう設定します

⑥ 要求される認証方式を選択します

⑦ 最後に作成されるポリシーを確認し、[構成の保存] をクリックします

  • 認証強度の低い方式を有効にしている場合、このタイミングで承認作業と省略可能なアンケートが求められます

⑧ 無事にポリシーの作成が完了したことを確認し、[完了] をクリックします

⑨ Entra 管理センター(https://entra.microsoft.com/)を開き、[保護] – [条件付きアクセス] – [ポリシー] にて作成したポリシーが表示されることを確認します

使用してみた感想

正直な感想ですが、かなり微妙です。以下に理由を述べます。

Entra管理センターのテンプレートを焼き直しただけ

というのも、Entra 管理センターから展開可能なテンプレートを、まとめて展開するための機能であるということに、一通り試した後に気がつきました。

テンプレートに廃止予定の機能が組み込まれている

手順⑨の画像に表示されている通り非推奨となる旨がアナウンスされているポリシーも対象となっています。
後述しますが、この機能の想定利用者はEntraを使い始めて間もないユーザーだと考えているため、せめて展開時に廃止予定ポリシーであることの注意書きを示すなど、もう少しユーザーフレンドリーである必要があると考えます。

同じテンプレート内でポリシーに一貫性がない

多要素認証を要求するポリシーが複数存在しますが、「多要素であればなんでもOKポリシー」と「認証強度ポリシーと紐づいたポリシー」が混在します。
このテンプレートを使用した場合、ポリシー展開時のUI/UXから(手順⑥)から、「この認証強度を必須化できている」と誤認するリスクが生じます。

使い所はあるの?

散々酷評しましたが、Entraや条件付きアクセスポリシーを初めて触れる管理者や、基本ポリシーの展開がまだ完了していない環境では、学習用途として一定の利用価値があると考えます。 特に、条件付きアクセスの設計方針が決まっておらず、どのようなポリシーを展開すべきか悩んでいる管理者にとっては、一つの参考になると思われます。

なお、これらのポリシーを本番用途で展開するのは、むしろ混乱を招く可能性が高いため、注意が必要です。 あくまでポリシーの組み方を学習するためのものとして、最初から有効な状態で展開することは絶対避けましょう。

おわりに

今回はMicrosoft公式の条件付きアクセスの展開ガイダンス機能についてご紹介しました。 個人的には期待した品質の機能ではありませんでしたが、これからEntraを学習される管理者にとっては有益なものとなりそうだと感じました。

次回はこの流れで最新版条件付きアクセスポリシーの設定ガイドでも書けたら良いなと思っています。ではまた!

参考資料とリンク

Advanced deployment guide for Conditional Access Policy templates
https://techcommunity.microsoft.com/blog/microsoft-entra-blog/advanced-deployment-guide-for-conditional-access-policy-templates/4406767

Conditional Access policy templates
https://techcommunity.microsoft.com/blog/microsoft-entra-blog/advanced-deployment-guide-for-conditional-access-policy-templates/4406767

Conditional Access advanced deployment guide(Microsoft 365 管理センターへ飛びます)
https://aka.ms/AAvskh5

すかんく

2022/1 入社、Identity チームのすかんくと申します。
ブログでは IdP 関連の機能紹介を中心に記載していこうと思います。
好きな漫画はアイシールド21・ハイキュー・ベイビーステップです。