条件付きアクセス

条件付きアクセスとは

条件付きアクセスは、定義済みの条件に基づいて IT リソースへのアクセスを保護するプロセスです。ユーザーのデバイスタイプ、アクセス時間、IPアドレス、またはジオロケーションに基づいてアクセスポリシーを作成することで、ネットワークとデータへのアクセスを厳密に制御できます。条件付きアクセスは、セキュリティを強化し、攻撃者によるITリソースへのアクセスを防ぐのに役立ちます。

ADSelfService Plusの条件付きアクセスにより、承認されたユーザーのみワークステーション、アプリケーション、およびADSelfService Plusで使用できるさまざまな機能 (パスワードの変更、ディレクトリの自己更新など)にアクセスできるようにすることができます。

条件付きアクセスの仕組み
設定方法

条件付きアクセスの仕組み

条件付きアクセスは、条件付きアクセスルールの作成に使用する特定の条件に依存します。このルールは、ユーザーに適用されるセルフサービスポリシーごとに、各ユーザーに対して有効な多要素認証方法、クラウドアプリケーション、およびセルフサービス機能を設定します。

条件の要件

条件は、デバイスの種類、IP アドレス、位置情報などのユーザー関連の要因です。要件に応じて、任意の1つの条件または複数の条件を有効にできます。ADSelfService Plusでは、次の条件をサポートしています。

IPアドレス：ユーザーのIPアドレスに基づいてアクセスを制御します。静的IP、プロキシサーバーのIP、および VPNのIPを構成できます。構成されたIPを信頼する/信頼しないのいずれかを選択できます。信頼できるIPはアクセスを許可され、信頼できないIPはアクセスを拒否されます。
デバイス：コンピューターオブジェクト、およびそれらが実行されているプラットフォーム (Windows、macOS、Linux、モバイルWeb アプリ、モバイルネイティブアプリ) に基づいてアクセスを制御します。
営業時間：営業時間/営業時間外に基づいてアクセスを制限します。
ジオロケーション：アクセスリクエストの発信元の場所に基づいてアクセスを制御します。

※ジオロケーションベースの条件は、ユーザーのIPアドレスに依存して場所を特定します。したがって、パブリックIPアドレスからのアクセスのみが評価されます。プライベートIPアドレスを持つユーザーは、この条件に失敗します。

条件

要件に基づいて条件を有効化後、AND、OR、および NOT 演算子を使用して有効な条件を組み合わせて条件を作成できます。この条件によって、アクセス要求の結果を決定するためにさまざまな条件を評価する方法が決まります。

たとえば、ユーザーが一部の国を除く世界中にいるとします。リソースへのアクセスは、営業時間中にのみ、信頼できる IPアドレスのみからアクセスする必要があります。このような場合は、信頼できるIPでIPアドレス条件(1)、許可された時間で営業時間条件(2)、ユーザーがいない国で位置情報条件(3)を有効にする必要があります。次に、次のような条件を使用できます。

条件: 1 AND 2 AND (NOT 3)

条件のルール

条件付きアクセス規則は、有効な条件、およびセルフサービスポリシーに関連付けられている条件で構成されます。セルフサービスポリシーを使用した場合、製品の機能を有効にし、OUとグループメンバーシップに基づいて、さまざまなユーザーセットに対してどのように機能するかを構成できます。条件と条件を1つ以上のセルフサービスポリシーに関連付けることで、条件付きアクセス規則を作成します。

複数の条件付きアクセス規則を作成する場合、条件に優先順位を付けるオプションがあります。そのため、ユーザーが複数のルールに該当する場合は、優先度が最も高いルールが有効になり、その後、そのルールに関連付けられているセルフサービスポリシーがユーザーに適用されます。ユーザーが条件付きアクセス規則に該当しない場合、[ポリシーの構成]ページでポリシーに設定された優先度に基づいてセルフサービスポリシーが適用されます。

設定方法

条件付きアクセスの設定方法

管理者としてADSelfService Plusにログインします。
[設定]タブ>[セルフサービス]>[条件付きアクセス]>[ルール構成]に移動します。
[CAルールを作成する]をクリックします。
条件名を入力します。必要に応じて説明を入力します。
任意の条件を設定します。

※これらの条件は決定を下すための基礎です。ユーザーが指定された条件のいずれかを満たしている場合、設定に従って条件へのアクセス許可/拒否を決定します。

IPアドレス

任意のIPアドレスの種類にチェックを入れます。
クライアントコンピューターを介してネットワークに直接接続するユーザーの場合、「静的IP」にチェックを入れます。
ユーザーがプロキシサーバー経由で接続する場合、「プロキシサーバーIP」にチェックを入れます。
ユーザーがVPN サーバー経由で接続する場合、「VPN IPアドレス」にチェックを入れます。

※3種類すべてを有効化した場合、次のルールが適用されます。 * (静的IP AND プロキシ IP) OR VPN IP

入力したIPアドレスに対して、信頼/拒否を選択します。
静的IPでは、の場合、[IP範囲] フィールドにIPアドレスの範囲を入力します。+ アイコンを使用して、さらにIP範囲を追加します。個々のIPを入力し、* をワイルドカード文字として使用して、IPのクラス全体を選択することもできます。

デバイス

コンピュータにチェックを入れ「+」アイコンをクリックします。
コンピュータを選択にて、ドメインおよびコンピュータを選択後、OKをクリックします。
プラットフォームにチェックを入れ、ドロップダウンにて、Windows、macOS、Linux、mobile web app、およびネイティブのmobileアプリから任意のプラットフォームを選択します。

営業時間

営業時間にチェックを入れます。
ラジオボタンにて、営業時間または営業時間外を選択します。
営業時間または営業時間外として、曜日および時間の範囲を指定します。

※ ジオロケーションに基づく条件は、ユーザーの IP アドレスに依存して位置を特定します。したがって、パブリックIPアドレスからのアクセスのみが評価されます。プライベートIPアドレスを持つユーザーは、この条件に失敗します。

ジオロケーション

ジオロケーションにチェックを入れます。
ドロップダウンにて国を選択します。

有効化した条件で基準が自動的に作成されます。作成した条件が要件に一致する場合、変更する必要はありません。それでも要件を満たさないことが確実な場合のみ変更してください。AND、OR、およびNOT演算子を使用してロジックを作成できます。
保存をクリックします。

ルールの割り当て

ADSelfService Plusに管理者としてログインします。
[設定]タブ>[セルフサービス]>[条件付きアクセス]>[ルールの割り当て]をクリックします。
ドロップダウンにて、適用するルールを選択します。
ルールを割り当てる対象のポリシーを選択します。

※選択するポリシーは、[設定]タブ>[セルフサービス]>[ポリシー設定]でのセルフサービスポリシーです。詳細はポリシー設定ページをご参照ください。

選択したポリシーは、次の場合にのみユーザーに適用されます。

ルールを満たしている場合
選択したポリシーの対象であるユーザー

例:3つのセルフサービスポリシー「A、B、C」、および、2 つの条件付きアクセスルール「1 、 2」があるとします。ユーザーがポリシーAおよびBに属しているとします。ポリシーAおよびCの両方がルール 1 に割り当てられているとします。ユーザーがルール1を満たす場合、ユーザーはポリシーAのみに属しているため、ポリシーAのみがユーザーに割り当てられます。

また、NTLMシングルサインオンおよびADSelfService Plusポータルアクセスを許可またはブロックします。これらの設定は、選択したルールを満たす場合に適用されます。

※ NTLMシングルサインオンを許可またはブロックするオプションは、ログオン設定でNTLM認証を設定している場合のみ有効です。

条件付きアクセスルールの優先順位付け

複数の条件付きアクセスルールを作成した場合、複数のルールに該当するユーザーに最も優先度の高いルールが適用されるように、ルールごとに優先度を設定できます。

条件付きアクセスルールの順位を設定する方法

[条件付きアクセス] ページにて、画面右上の [CAルールを作成する]ボタンの横)にある優先度アイコン（二重矢印マーク）をクリックします。
ルールをドラッグし、要件に基づいて並べ替えます。一番上のルールが最も優先されます。

条件付きアクセスルールの変更、コピー、無効化、削除

ルール変更による条件または条件ロジックを変更、コピーによるルールの新規作成、無効化、または削除できます。

[設定]タブ>[セルフサービス]>[条件付きアクセス]>[ルール構成]に移動します。
作成されたすべての条件付きアクセスルールが表示されます。
[アクション]列にて、任意のアイコンをクリックします。
は有効、は無効を意味します。
ルールを編集するには、の鉛筆マークをクリックします。
ルールをコピーするには、のマークをクリックします。
ルールを削除するには、のマークをクリックします。