Microsoft Azure

よくわかるMSクラウドサービスコラム第1回「知らないと損するアクセス制限(後編)」

はじめに

今月から始まりました本コラムでは、マイクロソフト系クラウドサービス、主に「Microsoft 365」および関連ソリューションについて、お客様とのディスカッションや商談、導入時の要件定義などの際に頻繁に話題として上がるポイントや気になる課題についてお伝えしていきます。

第1回は、「知らないと損するアクセス制限」と題して、デバイスや場所、状況や対象によってアクセス可否を制御する「条件付きアクセス」についてお届けしております。

前編では、「多要素認証を用いる場合」、「社内では多要素認証を不要にする場合」についてご説明いたしました。後編の今回は 「一部のクラウドサービスは、社内からのみのアクセスとしたい」について解説いたします。


社外からのアクセスを制限したい

「一部のクラウドサービスは、社内からのみのアクセスとしたい」 ・・・ここでポイントとなるのは「一部のクラウドサービス」の対象です。

今回の詳細要件は「ファイル共有の『SharePoint』について、社外からは使わせたくない」とのことでした。

このような場合には、2つめのポリシーと同様に今度は、「社外からの『SharePoint Online』へのアクセスを制限したい」という事になります。

「条件付きアクセス」では、特定のクラウドサービス(アプリ)のみをポリシーの適用対象(または対象除外)にすることができるため、クラウドサービス毎に異なる条件を指定することが可能になります。

「Microsoft Endpoint Manager admin center」画面。クラウドサービス毎に異なる条件の指定が可能。

ここで少し注意点をお伝えしますと「Office 365」のクラウドサービスには依存関係が存在します。例えば、「Microsoft Teams」のファイル部分は「SharePoint Online」、会議は「Exchange Online」といった具合です。そのため、制限する事によって他のサービスも影響を受ける可能性があることに注意が必要です。

さて、ここで殆どのお客様において、ほぼ共通の話題が生まれます。

そうです、「他のクラウドサービスも制限できればいいのにね・・・」という話題です。

ご安心ください!他のクラウドサービスも一定の条件が満たされていれば制限する事が可能なのです。

組織では、マイクロソフトのサービス以外にも様々なクラウドサービスを活用されています。これらのサービスを「Azure AD」と連携することで、「シングルサインオン」や「条件付きアクセス」などの恩恵を受けられるようになります。

「Azure AD」と連携することで「シングルサインオン」や「条件付きアクセス」 が可能。

これが、「Azure AD」を「ID管理基盤として採用し統合をすることの真の目的であり且つ最大のメリットである」とお伝えしても過言ではないとディーアイエスサービス&ソリューションでは考えています。「条件付きアクセス」を可能とするソリューションは多く存在しますが、ID統合を可能にし、ユーザーの利便性を損なうことなく高度なセキュリティ対策が可能なソリューションはそう多くないと思います。

この「ID統合」や「シングルサインオン」については、また他の機会にお伝えできれば幸いです。


アクセスは会社支給のデバイスからのみ

この「指定デバイスのみ」という条件には、条件付きアクセスの手助けとなる「Microsoft Intune」というソリューションとの組み合わせをお勧めいたします。これにより、デバイスを管理下におくことが可能になります。いわゆるモバイルデバイス管理(MDM)です。

この登録を、あらかじめ指定したデバイスのみが行えるようにしたり、会社内からのみとしたりすることで、会社支給のデバイスを判断することが可能になります。

さらに、会社支給のデバイスを許可する背景として、本来はそれらが安全なデバイスであることや正しく管理されているデバイスであることを意味していると思います。

「Azure AD」の条件付きアクセスと「Microsoft Intune」を組み合わせることにより、セキュリティ対策が施され安全なデバイスであると判断された場合(準拠している状態)にアクセス許可することが可能となります。

「Azure AD」の条件付きアクセスと「Microsoft Intune」を組み合わせにより「アクセス許可」が可能。

いかがでしたでしょうか?

「条件付きアクセス」の活用は、マイクロソフト以外のクラウドサービスでもこの恩恵を受けることができます。さらに上位プランでは、危険なログイン試行などを自動的に検出することも可能です。

接続後にすべての作業を許してしまうVPNではなく、条件によりアクセス制御が可能な「条件付きアクセス」を検討いただく際の参考になれば幸いです。

デモなどをご覧いただくことも可能ですので、「Microsoft 365」を活用したセキュリティ強化につきましてはお気軽にディーアイエスサービス&ソリューションまでお問い合わせください。

次回は「アプリケーションプロキシ」について予定しています。

本コラムは2021年9月現在の情報を基に作成しています。


関連導入事例


関連コラム

Print Friendly, PDF & Email