Entra ID 勉強会(SC-300)条件付きアクセス 適用対象/適用対象外の見極め・永続的なブラウザセッション

Entra ID

問題

Microsoft 365 E5 サブスクリプションには、Group1 と Group2 という 2 つのグループが含まれています。
サブスクリプションには、次の表に示すユーザーが含まれています。

以下の条件付きアクセスポリシーを作成します:

-名前 ポリシー1
-ユーザ
・含む: グループ1
・除外する グループ2
-対象リソース
・含む: すべてのクラウドアプリ
-許可する
・アクセスを許可する: 多要素認証を要求
-セッション
・永続的なブラウザセッション: 永続的にしない

-名前 ポリシー2
-ユーザ
・含む:
 -ディレクトリの役割: グローバル管理者
 -ユーザーとグループ ユーザー3
・除外する: グループ2
-対象のリソース
・含む: すべてのクラウドアプリ
-セッション
・サインインの頻度
 -定期認証:2時間

以下の各記述について、その記述が真であれば「はい」を選択し、 そうでない場合は、「いいえ」を選択してください。

①ユーザー1 は、Microsoft365 ポータルにサインインするときに、「サインイン状態を維持する」オプションの入力を求められます。

②ユーザー2 は 2 時間ごとに Microsoft 365 アプリに再認証する必要があります。

③ユーザー3 は 2 時間ごとに Microsoft 365 アプリに再認証する必要があります。

回答

①はい
②いいえ
③いいえ

 

解説

▽選択肢①について(ユーザー1 は、Microsoft365 ポータルにサインインするときに、「サインイン状態を維持する」オプションの入力を求められます。)

〇「サインイン状態を維持する」オプションについて
・お馴染みの下記画面のこと

〇ユーザー1が適用される条件付きアクセスポリシー
・ユーザー1が所属するGroup1に対して、ポリシー1のみが適用されている

〇ポリシー1の解説
・グループ1のメンバーが、すべてのクラウドアプリにアクセスするとき多要素認証が求められる
・永続的なブラウザセッションは「永続的にしない」

〇永続的なブラウザセッション
・「常に永続的」or「永続的にしない」の2パターン

・常に永続的の場合
「サインインの状態を維持しますか」の画面が表示されることなく、サインイン状態が継続される
⇒ブラウザウィンドウを閉じてから再度開いた後もサインインを維持できる
※90日間有効。(90 日間一度もそのブラウザ セッションを利用せずにシングル サインオンも行わなかった場合に無効になる)

構成可能なトークンの有効期間 - Microsoft identity platform
セキュリティを強化するために、Microsoft Identity Platform でアクセス トークン、SAML トークン、ID トークンのトークンの有効期間を構成する方法について説明します。
learn.microsoft.com
「サインインの状態を維持しますか?」のメッセージ表示を制限する方法 | yjk365
こんにちは!市川です! Microsoft 365 などのサインイン時、「サインインの状態を維持し
yjk365.jp

・永続的にしないの場合
「サインインの状態を維持しますか」の画面が表示される
⇒ポリシー1はこちらの設定値であるため、選択肢①は「はい」が正しい

※補足
組織全体に対して、「サインインの状態を維持しますか」の画面を表示させないようにする場合は、Entra管理センターのユーザー設定から、設定することも可能

▽選択肢2について(ユーザー2 は 2 時間ごとに Microsoft 365 アプリに再認証する必要があります。)

〇ユーザー2が適用される条件付きアクセスポリシー
・ユーザー2はGroup2に所属する&グローバル管理者である
・ポリシー1:対象ユーザーにユーザー2は含まれない

・ポリシー2:対象ユーザーにグローバル管理者が含まれている
※補足:条件付きアクセスの対象ユーザー/対象外ユーザーとして、ロールを指定することも可能

・ポリシー2:対象外ユーザーにGroup2(ユーザー2)が含まれている

・対象/対象外両方にユーザー2が含まれる場合どちらが優先されるのか?
⇒対象外が優先される仕様なため、ポリシー2も適用されない

条件付きアクセスのセットアップ: ユーザー、グループ、およびワークロード ID - Microsoft Entra ID
セキュリティで保護された柔軟なアクセス管理のために、条件付きアクセス ポリシーにユーザー、グループ、ワークロード ID を含めるか除外する方法について説明します。
learn.microsoft.com

⇒ポリシー2は適用されず、2時間ごとの再認証は求められないため、選択肢②は「いいえ」が正しい

▽選択肢3について(ユーザー3 は 2 時間ごとに Microsoft 365 アプリに再認証する必要があります。)

〇ユーザー3が適用される条件付きアクセスポリシー
・ユーザー3はGroup1,2に所属
・ポリシー1,2ともに、適用の対象外ユーザーとしてGroup2を指定
・選択肢2と同様の理由で、ユーザー3には条件付きアクセスポリシーが適用されず、2時間ごとの再認証は求められない
⇒選択肢③は「いいえ」が正しい

補足:その他条件付きアクセスポリシーの適用&構成でよく使われる考え方

改めて知る Microsoft Entra 条件付きアクセス
こんにちは、Azure & Identity サポート チームの長谷川です。 Microsoft Entra 条件付きアクセスは、Microsoft Entra ID が提供する主要機能であり、非常に多くのお客様にご利用いただいています。一...
jpazureid.github.io

・条件付きアクセスでは、ポリシーを設定しない (既定の状態の) 場合、すべてのアクセスが許可される (資格情報以外の制御がかかりません)。
・条件付きアクセスには、ファイアウォールのルールのように、どのポリシーにも当てはまらないものを最終的に既定でブロックするようなポリシーはなく、構成もできない。
・条件付きアクセスではポリシーの適用順序 (優先順位) を構成することはできません。
・複数の条件付きアクセス ポリシーに合致する場合、すべての条件を満たさないかぎり、アクセスはブロックされる。
※どれか1つのポリシーでブロックの対象となった場合、アクセスはブロックされる。(ブロック優先)

コメント