Microsoft Entra 条件付きアクセスを使用して場所によってアクセスをブロックする

[アーティクル]
01/02/2024

場所によってアクセスをブロックしてユーザーのアクセスを制限することで、不正アクセスを低減させます。条件付きアクセスポリシーを使用することで、組織のセキュリティを確保して、必要に応じてユーザーの邪魔とならないように、適切なアクセス制御を適用することができます。条件付きアクセスは、ユーザー、デバイス、場所などの信号を分析して、意思決定を自動化し、リソースの組織的なアクセスポリシーを適用します。たとえば、ユーザーのプロファイルに場所の制限が設定されていて、ユーザーがブロックされた場所からログインしようとすると、顧客エンゲージメントアプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Dynamics 365 Project Service Automation)、および財務と運用アプリへのアクセスは拒否されます。条件付きアクセスの詳細については、条件付きアクセスドキュメントを参照してください。

要件

Microsoft Entra ID P1 または P3 へのサブスクリプションです。
フェデレーション Microsoft Entra ID テナント。条件付きアクセスとは何ですか？を参照してください。

追加のセキュリティに関する考慮事項

アクセスのブロックはユーザー認証中のみに適用されます。これは、Microsoft Entra ID 条件付きアクセス機能によって実行されます。顧客エンゲージメントアプリと財務と運用アプリは、ユーザーデータの保護とユーザーがサインイン資格情報を入力するよう要求される回数のバランスを調整するために、セッションタイムアウトの限度を設定します。デバイスのためのアクセスブロック (ラップトップを含む) はセッションタイムアウトが期限切れになるまで適用されません。

たとえば、ブロックアクセスは、ユーザーが企業オフィスで働いている場合にのみ、顧客エンゲージメントアプリと財務と運用アプリへのアクセスを許可するように設定されています。ユーザーがオフィスからラップトップで顧客エンゲージメントアプリと財務と運用アプリにサインインし、セッションを確立すると、ユーザーはオフィスを後にしてからセッションタイムアウトが期限切れになるまで、顧客エンゲージメントアプリと財務と運用アプリへのアクセスを続けることができます。この動作は、電話用およびタブレット PC 用 Dynamics 365、Dynamics 365 App for Outlook、財務と運用 (Dynamics 365) モバイルアプリなどのモバイルおよびオフサイト接続にも適用されます。

セキュリティグループの作成 (任意)

すべてのユーザーまたはユーザーのグループに対してアクセスをブロックできます。 Microsoft Entra ユーザーのサブセットのみが、顧客エンゲージメントアプリと財務と運用アプリにアクセスしている場合、グループで制限するのがより効率的です。

詳細については、基本グループを作成して、Microsoft Entra ID を使用してメンバーを追加するを参照してください。

場所別にブロックアクセスを作成する

場所別のブロックアクセスは、Microsoft Entra ID (AD) 条件付きアクセスを使用しています。クラウドアプリの場合は、Common Data Service を選択して顧客エンゲージメントアプリ (Dynamics 365 Salesや Customer Service など) へのアクセスを制御するか、クラウドアプリの場合は、Microsoft Dynamics ERP を選択して財務および運用アプリへのアクセスを制御します。

注意

条件付きアクセスの設定は、Microsoft Entra ID の Premium ライセンスでのみ可能です。 Microsoft 365 管理センターで Microsoft Entra を Premium ライセンスにアップグレードします (https://admin.microsoft.com>請求>購入サービス)。

ユーザーのために場所ごとにブロックアクセスを作成するには: