中小企業向け 条件付きアクセス設計テンプレート

Entra ID / Active Directory

この記事の狙い

クラウド活用が当たり前になった今、境界防御だけに頼るやり方は限界です。
Microsoft Entra ID の条件付きアクセス(Conditional Access)は、ユーザー・端末・場所・リスクなどの信号を組み合わせてポリシーを適用するゼロトラストの中核機能です。
中小企業や一人情シスでも迷わず導入できるよう、テンプレート化された設計と段階的な展開方法をまとめます。
参照: Conditional Access 概要.

まず決めるべき標準テンプレート

以下は「最初の5本」として推奨する標準テンプレートです。
SMBの典型業務を前提にしており、例外を最小に抑えつつセキュリティと利便性のバランスを取ります。

テンプレートA:管理ポータルは常時MFA

  • 対象: すべての管理者ロール、管理ポータル(Entra、Intune、Azure、M365)
  • 制御: MFA 必須、セッションのサインイン頻度を短めに
  • 例外: 緊急アクセス(後述)

テンプレートB:社外アクセスはMFA

  • 対象: 全ユーザー、すべてのクラウドアプリ
  • 条件: 信頼できる場所(企業拠点・固定IP)以外
  • 制御: MFA 必須

テンプレートC:非準拠デバイスは制限

  • 対象: 全ユーザー、主要業務アプリ(Exchange, SharePoint, Teams 等)
  • 条件: デバイスが準拠状態でない(Intune 非準拠/BYOD)
  • 制御: ブロック、または「Web のみ許可」でダウンロード禁止

テンプレートD:高リスクはブロック

  • 対象: 全ユーザー
  • 条件: サインインリスク「高」
  • 制御: アクセス拒否(業務影響が大きい場合はMFA+パスワードリセットに置換)

テンプレートE:登録・参加操作を保護

ヒント: 管理センターには条件付きアクセスのテンプレートが用意されています。
作成後に自組織向けの除外や強度調整を行いましょう。
参考: テンプレートの概要.

緊急アクセス(ブレークグラス)の準備

万一のロックアウトに備え、クラウド専用の緊急アクセスアカウントを2つ用意します。
強固な認証方法(FIDO2や証明書ベース)を設定し、監視・保管手順を文書化します。
参考: 緊急アクセスアカウントの管理.
なお、2025年以降はポータル側の強制MFAが段階適用されるため、ブレークグラスもMFA対応が推奨です。
参考: MFA Mandatory の計画.

段階導入の進め方(4ステップ)

  1. 影響度の低い範囲で検証:IT 部門+パワーユーザーの少人数グループでテンプレートA/Bを有効化。
  2. 対象拡大:部署単位→全社へ。テンプレートCの「Web のみ許可」を先行して、ダウンロード制御の使い勝手を確認。
  3. 高リスク制御の厳格化:テンプレートDを「MFA必須」から「ブロック」に移行。ヘルプデスクの運用を整える。
  4. 定着化:テンプレートEで登録操作の保護を有効化。定期的にサインインログをレビューしチューニング。

失敗談から学ぶ

  • 管理者が自分を除外し忘れてロックアウト
    原因はテンプレート適用範囲の過信。
    対策は「緊急アクセス2アカウントの常設」と、ポリシー変更のCAB承認
  • レガシーアプリが突然使えなくなる
    レガシー認証遮断の影響範囲を見誤るパターン。
    移行期間を設定し、モダン認証対応までの暫定ルールを用意。
  • MFA周知不足で問い合わせ急増
    展開前に「登録手順・よくあるQ&A・端末変更時の手続き」を配布し、初週はチャット支援を増員。

チェックリスト(運用に入れる前に)

  • [ ] テンプレートA〜Eを下書き作成し、影響ユーザーを可視化した
  • [ ] 緊急アクセス2アカウントを作成・保管・監視化した
  • [ ] レガシー認証の利用実態を棚卸しした
  • [ ] サインインログの確認手順とエスカレーションを定義した
  • [ ] テスト結果を踏まえて最終閾値(ブロック/許可)を確定した

まとめ(導入順序の型)

  • まずは管理系MFA必須社外MFA必須
  • 次にデバイス準拠の強制高リスクのブロック
  • 最後に登録操作の保護で穴を塞ぐ
  • 運用面では緊急アクセス+周知+ログ監視をセットで回す

ポリシー作成の具体例(画面操作の道順)

  1. 管理センターで Entra ID > Security > Conditional Access > Policies > New policy を開く
  2. Assignments でユーザー/グループを選定。まずは IT 部門と役員のみ
  3. Target resources で「Microsoft 管理ポータル」や主要アプリを追加
  4. Conditions で「Locations」「Device platforms」「Client apps」を設定
  5. Access controls で「Grant」→「Require multifactor authentication」を選択
  6. Enable policyReport-only で保存し、1週間の影響を観測
  7. 誤検知がないことを確認後、On に切替

運用メトリクス(最初の90日)

  • MFA 登録率:80%→95% を目標。未登録者は自動リマインド
  • 失敗サインイン率:全体の 3% 未満を目標(設定直後は一時的に上振れ)
  • ブロック件数:高リスク/非準拠/未知国の内訳でモニタリング
  • ヘルプデスク負荷:初月はFAQ 整備で 30% 減を目指す

SMBでのよくある質問(FAQ)

  • Q: BYOD は全面禁止すべき?
    A: まずは「Web アクセスのみ許可+ダウンロード禁止」で開始し、要望に応じて例外申請を運用。
  • Q: 実拠点の固定 IP がない
    A: 「名前付き場所」に自治体やプロバイダーの幅広いレンジを登録するのは避け、MFA前提の設計に寄せる。
  • Q: 出張時の一時例外は?
    A: 期間付きのグループに追加し、ポリシー条件で除外。必ず期限切れ自動化を。

ログで効果を見える化

  • 「ブロック率」や「MFA 要求率」を週次で可視化し、経営層に 1 分で説明できるようにする
  • テンプレートごとの誤検知率を記録し、翌月の閾値チューニングに反映

コメント

タイトルとURLをコピーしました