【全EntraID管理者必見!】条件付きアクセスの「全てのリソース+除外設定」の挙動に注意が必要!

この記事の内容

  • Microsoft Entra ID の条件付きアクセスで「すべてのクラウドアプリ」を対象にしたポリシーに除外設定を加えると、意図しない挙動が発生することがあります
  • 除外設定を追加しただけで、デバイス準拠要求のポリシーが特定のアプリに効かなくなる現象を実際に検証・確認しました
  • この挙動はバグではなく、Microsoft の公式ドキュメントに記載されている仕様です
  • User.Readprofileopenid などの低権限スコープのみを要求するアプリは、除外設定がある場合にポリシー適用から自動的に外れます
  • セキュリティ要件によっては「すべてのクラウドアプリ+除外設定」という構成が意図したとおりに機能しない可能性があり、既存ポリシーの見直しが必要です

前提:準拠デバイスを要求するポリシーの基本動作

まず、基本的な動作を確認します。Entra ID の条件付きアクセスポリシーを新規に作成し、「すべてのクラウドアプリ」へのアクセスに対して「準拠しているとしてマーク済みのデバイスが必要」という制御を設定します。

このポリシーを「レポート専用モード」で有効化し、Intune などに登録されていない非準拠デバイスから Entra ID 認証を試みます。

この設定では、非準拠デバイスからのアクセスはブロックされるはずです。実際にサインインログを確認すると、期待どおり「失敗」と記録され、失敗の理由として「準拠しているデバイスが必要」と表示されます。ここまでは、多くの管理者が期待する通りの動作です。

問題の挙動:除外設定を追加した途端、ポリシーが効かなくなる

ここからが本題です。先ほど作成したポリシーに、ほんの少し変更を加えます。

対象リソースの設定で「すべてのクラウドアプリ」を選択した状態のまま、「対象外とするクラウドアプリ」に、現在テストしている認証とは全く関係のないアプリケーションを1つだけ追加します。

この状態で、再度、非準拠デバイスから Entra ID 認証(今回の検証では OP-SSH ログイン)を試みます。

ポリシーの意図としては、特定のアプリを除外しただけであり、それ以外のアプリには引き続きデバイス準拠の要求が適用されるはずです。しかし実際のサインインログを確認すると、結果は「成功」となり、条件付きアクセスポリシーは「適用なし」と表示されてしまいます。

つまり、関係のないアプリを1つ除外設定に追加しただけで、デバイスの準拠を求める制御が効かなくなってしまったのです。

なぜこのような挙動になるのか?公式ドキュメントの記述

この一見不可解な動作は、バグではなく Microsoft の公式ドキュメントに記載されている仕様です。

「すべてのリソースにアプリの除外がある場合の条件付きアクセスの動作」という項目に、次のような記述があります。

すべてのリソースを対象にしながらポリシーから除外するリソースがある場合、誤ってユーザーアクセスをブロックしないように、特定の低い権限のスコープがポリシーの適用から除外されます。

具体的には、以下のような基本的なユーザープロファイル読み取りに相当する、特権レベルの低いアクセス許可のみを要求するアプリケーションは、ポリシーの対象から自動的に外れます。

Uposrpeoerfn.iiRldeead

今回の検証で利用した SSH ログインツールは、認証時にこれらの「基本的な情報」しか要求していませんでした。そのため、ポリシーに除外設定が加わったことで、この「低い権限スコープは許可する」という仕様が適用され、デバイス準拠のチェックをすり抜けてしまったというのが真相です。

管理者が直面する課題

この仕様は、基本的な情報取得を妨げないようにするという Microsoft の思想に基づいていると推測できます。しかし管理者側としては、「どのような権限要求であれ、Entra ID で認証する際には必ず準拠デバイスを要求したい」と考えるケースも少なくありません。

このような要件がある場合、「すべてのクラウドアプリ+除外設定」という構成では、意図したセキュリティレベルを維持できない可能性があります。

対策として考えられるアプローチ

この問題への具体的なワークアラウンドとして、以下のようなアプローチが考えられます。

  • 除外ではなく「選択したアプリを含める」方式でポリシーを構成する
    対象アプリを個別に指定することで、低権限スコープの例外処理の影響を受けにくくなります。

  • より強力な制御を持つ別の設定を組み合わせる
    認証強度(Authentication Strength)など、別の制御機構と組み合わせることも検討できます。

既存のポリシーが「すべてのクラウドアプリ+除外設定」の構成になっている場合は、意図どおりに機能しているかどうかをサインインログで改めて確認することをお勧めします。

まとめ

Entra ID の条件付きアクセスで「すべてのクラウドアプリ」を対象にする際は、除外設定を追加することで、User.Readopenid などの低権限スコープしか要求しないアプリに対してポリシーが効かなくなる可能性があります。

これは仕様に基づく動作であり、バグではありませんが、セキュリティ要件によっては意図しないアクセスを許可してしまうリスクがあります。自組織の条件付きアクセスポリシーが意図どおりに機能しているか、一度レポート専用モードを活用して検証してみることをお勧めします。