ADSelfService Plus ナレッジベース

条件付きアクセスについて


本ナレッジでは「条件付きアクセス」の機能についてご紹介します。

<目次>
「条件付きアクセス」とは
「条件付きアクセス」の設定方法

「条件付きアクセス」とは

一言でいうと、ユーザーごとに、アクセスポリシー(条件)を指定することにより、従来よりも高いセキュリティを確保する機能です。
リモートワーク(在宅ワークなど)が急速に浸透した現在、リモート環境とオンプレミス環境のユーザーが混在しています。

  • リモート:社内のデバイスが社内LAN外にも進出したことで、サイバー攻撃を受けるリスクが高い
    -->社外のセキュリティ対策を実施する必要があります。(例:二段階認証、多要素認証など)
  • オンプレミス:既に、社内LAN内のセキュリティ対策を実施している

リモート環境では、社外のセキュリティ対策を実施する必要がありますが、同じ対策をオンプレミス環境に実施することは適切でありません。
そこで、各ユーザーの環境にあったセキュリティ対策をそれぞれ設定できる機能が、「条件付きアクセス」です。

ユーザーごとに、様々なセキュリティリスク(IPアドレス、デバイスの種類、営業時間、ジオロケーション)を設定できます。
また、他の機能に影響をあたえることはございません。
「条件付きアクセス」を指定するには、次の「条件付きアクセス」の設定方法をご参照ください。

「条件付きアクセス」の設定方法

    1. [設定]タブ-->[セルフサービス]-->[条件付きアクセス]をクリックします。
    2. [条件付きアクセスを構成する]をクリックします。
    3. [ルール名]を入力します。
    4. [条件]フィールドにて、任意の条件を設定します。
      IPアドレスベース

      特定のIPアドレス(範囲)からのアクセスを許可/拒否に設定できます。
      静的IP:信頼する/信頼しないIPアドレスを個別/範囲で設定可能
      プロキシサーバーIP:信頼する/信頼しないプロキシサーバーIPアドレスを単体/複数で設定可能
      VPN IPアドレス:信頼する/信頼しないVPNのIPアドレスを単体/複数で設定可能

      デバイスベース

      信頼する/信頼しないコンピューター端末、プラットフォーム(Windows/Mac/Linux/モバイルWebアプリ/モバイルネイティブアプリ)を設定可能

      営業時間ベース

      ※製品表記の「営業時間」は、アクセス可能な時間を意味します。
      条件に指定したIPアドレスやデバイスが、アクセス可能/不可能な時間を設定できます。

      アクセス可能に設定する場合
      1. 右側の[営業時間]をクリックします。
      2. 許可する任意の時間を設定します。(許可する時間は緑色に変わります)
      アクセス不可能に設定する場合
      1. 右側の[業務時間外]をクリックします。
      2. 許可する任意の時間を設定します。(許可しない時間は灰色に変わります)

      ロケーションベース

      1.  [地理位置情報]をクリックします。
      2. ドロップダウンより、任意の場所を選択します。

    5. [関連ベース]にて、条件付きアクセスを適用するドメインを選択します。
    6. [追加]をクリックします。

複数の条件付きアクセスを作成した場合、優先度を設定できます。
以下の例をもとに、以下の手順をご参照ください。
例:2つの条件付きアクセスを作成した場合:

  1. 画面右上にある二重矢印アイコンをクリックします。
  2. 表示されたポップアップ画面上で、優先度を設定します。(※優先度は、上から順に高くなります。)
    例の場合、技術部が一番高い優先度となります。