第10回 クラウドサービスへのアクセス制御(2)【MicrosoftのMVP解説！第一弾 Azure ADの虎の巻】

前回、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。具体的にはOS種類に基づいてアクセス制御を行う方法を解説しましたが、そのほかにも様々な条件をもとにアクセス制御ができるので、今回はその中でもニーズが高い、会社支給のデバイスからアクセスしたときだけを許可する、という設定についてみていきます。

前回のおさらいですが、条件付きアクセスではユーザー/グループ、クラウドアプリ、条件をそれぞれ設定し、すべての条件に合致した場合に拒否する、または条件付きで許可する、という設定を行うものでした。前回は「WindowsまたはiOS以外のOSからのアクセスを拒否する」という設定を行いましたが、その場合、条件で「WindowsまたはiOS以外のOS」、許可/拒否の項目で「拒否」という設定を行いました。

条件付きアクセスのおさらいを踏まえて今回は「会社で支給しているデバイスからアクセスした時だけ許可する」という設定を行います。このような条件を設定する場合、最初に「会社支給のデバイス」を定義しなければなりません。条件付きアクセスでは、次の2つの方法で「会社支給のデバイス」を定義できます。

・ Microsoft Intuneに登録されているデバイス
・ オンプレミスのActive Directoryドメインに参加しているデバイス

どちらの場合も個人所有のデバイスであれば、これらの条件に当てはまることはないと思います。ですので、会社支給のデバイスとしましょう、と定義しています。これらの設定は条件付きアクセスの許可/拒否を設定する画面から[アクセス権の付与]を選択して行います。

Microsoft Intuneに登録されているデバイスであればアクセスを許可する場合は[デバイスは準拠しているとしてマーク済みである必要があります]を選択し、オンプレミスのActive Directoryドメインに参加しているデバイスであればアクセスを許可する場合は[ハイブリッド Azure AD 参加済みのデバイスが必要]を選択します。
これらの設定は、単純にチェックボックスにチェックを付けるだけでなく、同時に行わなければならない設定もあるので、順番に確認していきましょう。

■ Microsoft Intuneに登録されているデバイス

Microsoft Intuneとはモバイルデバイス管理のためのクラウドサービスで、iOSやAndroidなどのデバイスはもちろん、Windows 10デバイスも管理できるサービスです。Microsoft Intuneではデバイスが登録されると、その情報をAzure ADと共有するため、接続してきたデバイスがIntuneに登録されているデバイスであるか確認できるようになっています。
しかし、条件付きアクセスではIntuneにデバイスが登録されているだけでなく、コンプライアンスポリシーと呼ばれる設定に準拠している必要があります。コンプライアンスポリシーはIntuneの中で構成可能なデバイス管理のポリシー機能で、以下のような設定を行うことができます。

< 主なコンプライアンスポリシーの設定 >
・ OSが特定のバージョンであるか？
・ BitLockerによるディスク暗号化が有効であるか？
・ ファイアウォールが有効であるか？
・ ウイルス対策機能が有効であるか？
・ ウイルス対策機能のパターンファイルが最新であるか？
・ 脱獄されたデバイスであるか？
・ パスワードの文字数や文字種が会社の規定通りであるか？
・ 特定のアプリがインストールされている/されていないか？

これらの設定を定義した場合にはその設定に準拠しているデバイスだけが条件付きアクセスによってアクセスを許可することになります。
ここまでの話をまとめると、Microsoft Intuneに登録されているデバイスであることを条件にアクセスを許可する場合、Intuneにデバイスが登録されていること、Intuneで設定したコンプライアンスポリシーに準拠していること、この2つの条件をクリアしたときに条件付きアクセスではアクセスを許可することになります。

■ オンプレミスのActive Directoryドメインに参加しているデバイス

Azure ADでは、アクセスするデバイスがオンプレミスのActive Directoryドメインに参加していることを識別する方法がありません。そのため、Azure AD Connect を使ってデバイス情報を同期することで事前に登録しておき、事前登録したデバイスからのアクセスであるかチェックすることで確認しています。この機能を利用する場合、次の2つの設定を行います。

・Azure AD Connectでの同期設定
Azure AD Connectをインストールしたサーバーで、デスクトップに作られたAzure AD Connectのアイコンをダブルクリックし、ウィザードメニューから[デバイスオプションの構成]を選択し、[ハイブリッド Azure AD参加の構成]を選択します。すると、デバイス情報がAzure ADへ同期されるように構成されます。

・グループポリシーによるクライアント側の設定
オンプレミスのActive Directoryドメインでグループポリシーオブジェクト(GPO)を新規作成し、以下の設定項目を有効にします。

コンピューターの構成＞ポリシー＞管理用テンプレート＞Windowsコンポーネント＞デバイスの登録＞ドメインに参加しているコンピューターをデバイスとして登録する

なお、この設定項目はWindows 10用の管理用テンプレートがインストールされていることが前提条件になります。マイクロソフトのWebサイト(https://www.microsoft.com/ja-JP/download/details.aspx?id=56880)からツールをダウンロードし、インストールすると、PolicyDefinitionsフォルダーが出来上がるので、フォルダーごとドメインコントローラーのc:\windows\sysvol\domain\policies フォルダーにコピーしてください。以上の設定により、上記のGPO設定項目が利用できるようになります。

ここまでの設定により、ドメイン参加しているデバイスの情報がAzure管理ポータルの[Azure Active Directory]-[デバイス]-[すべてのデバイス]から確認できます。

以上の設定が完了すると、条件付きアクセスがIntuneに登録されているデバイス、またはActive Directoryに登録されているデバイスを識別できるようになります。例えば、次のような条件付きアクセスポリシーを作成すると、

ユーザー/グループ：すべてのユーザー
クラウドアプリ：Webアプリケーション (第8回で作成したWebアプリを指定)
条件：なし
許可：許可 – ハイブリッド Azure AD 参加済みのデバイスが必要

どのユーザーがWebアプリケーションにアクセスする場合でも、ドメイン参加しているデバイスからアクセスしないとアクセスできなくなります。

次回は条件付きアクセスを使った多要素認証の制御について紹介しますので、お楽しみに。

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回は、Microsoft Intuneに登録されているデバイスと、オンプレミスのActive Directoryドメインに参加しているデバイスを対象としたアクセス制御の設定方法について学びました。Active Directoryに参加しているデバイスを対象とする場合はAzure AD Connectが利用されていましたが、ManageEngineが提供する「ADAudit Plus」を使用すると、「いつ」「だれが」「どのデバイスを」Azure ADに追加したのかが簡単に確認できます。

■ ADAudit Plusとは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー／ファイルサーバー／メンバーサーバー／PCなどのITリソース、およびユーザー／グループ／ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。

ADAudit Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/

【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html

▼▼ 過去記事はこちら ▼▼
第7回 Azure ADによるクラウドサービスの管理(2)【MicrosoftのMVP解説！Azure ADの虎の巻】
第8回 Azure ADによるクラウドサービスの管理(3)【MicrosoftのMVP解説！Azure ADの虎の巻】

▼▼ 別シリーズのブログ記事もチェック！ ▼▼
【MicrosoftのMVP解説！Active Directoryのハウツー読本】第1回 Active Directoryの必要性