シリーズ記事の8つ目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ!
- Windows10をAzure ADに参加させる!【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする!【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる!BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる!【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する!【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators
今回は条件付きアクセスポリシーを設定してみたいと思います。
条件付きアクセスポリシーの作成
adminを除き、全てのユーザーは多要素認証を受けた上で、ポリシーに準拠した安全な端末でしかクラウドサービスにアクセスできないように構成してみます。
全てのユーザーを対象にしつつ、adminだけはロックアウトしないように除外しておくことにします。
クラウドアプリはAADに登録されているクラウドアプリです。Microsoft 365 E5環境なのですでに沢山ありますが、全てのクラウドアプリを対象にします。
これで、ユーザーはどのクラウドサービスへのアクセス時にも多要素認証が要求され、端末としてもポリシーに準拠して適切にマルウェア対策機能が動いていて、暗号化されている…等のコンプライアンスポリシーのクリアが求められることになりました。
例えば、ID,Passwordを知っている上で、MFAの要素を持っていたとしても、きちんとコンプライアンス・ポリシーを満たさない環境からアクセスしようとすると下記のようにブロックされます…!
ここまでやってしまえばかなりセキュアですが、次回はさらにこれを推し進めて、Microsoft Defender ATPとも連携させたいと思います。
シリーズの次の記事はこちら!