概要
Microsoft Entra IDは、すべてのリソースを対象とし、1 つ以上のリソースの除外を含む条件付きアクセス ポリシーの強化された適用モデルをロールアウトしています。 この変更により、ベースライン スコープのみを要求するサインインは、他のリソース アクセスと同じ条件付きアクセス保護を受け取ります。
以前は、リソースの除外が存在する場合、特定の低い特権スコープがポリシーの適用から自動的に除外されていました。 この変更により、これらのスコープはディレクトリ アクセスとして評価され、条件付きアクセス ポリシーの対象となります。
技術的背景の詳細については、「 すべてのリソース ポリシーにリソースの除外がある場合の新しい条件付きアクセスの動作」を参照してください。
Important
この適用更新プログラムは、Microsoftの Secure Future Initiative と多層防御投資に合わせて更新されます。 Microsoftでは、セキュリティ体制を改善するために、新しい適用モデルを採用することをお勧めします。
影響を受けるユーザー
この変更は、次のすべての条件に該当する場合にテナントに影響します。
- すべてのリソースを対象とする条件付きアクセス ポリシーが 1 つ以上ある。
- これらのポリシーには、1 つ以上の リソース除外があります。
- テナント内のユーザーは、 ベースライン スコープのみを要求するアプリケーションを使用してサインインします。
ポリシーがリソースの除外なしですべてのリソースを対象としている場合、この変更はユーザーに影響しません。
ベースライン スコープとは
ベースライン スコープは、次の一連のスコープの総称です。
-
OpenID Connect (OIDC) スコープ:
email、offline_access、openid、profile -
ベースライン ディレクトリ スコープ:
User.Read、User.Read.All、User.ReadBasic.All、People.Read、People.Read.All、GroupMember.Read.All、Member.Read.Hidden
変更される内容
ロールアウト後、次のシナリオで、以前にアクセスが強制なしで付与された条件付きアクセスチャレンジ (MFA やデバイス コンプライアンスなど) がトリガーされる可能性があります。
- ベースライン スコープのみを要求するパブリック クライアント アプリケーション (デスクトップ アプリなど)。 たとえば、ユーザーはVisual Studio Codeデスクトップ クライアントにサインインします。このクライアントは
openidスコープとprofileスコープを要求しますが、Azure CLIはUser.Readのみを要求します。 - すべてのリソース ポリシーから除外され、ベースライン ディレクトリ スコープのみを要求する機密クライアント アプリケーション (Web アプリなど)。 たとえば、
User.ReadとPeople.Readのみを要求するポリシーから除外された Web アプリケーションなどです。
正確な課題は、すべてのリソースを対象とするか、リソースとしてWindows Azure Active Directory (Microsoft Entra ID ディレクトリ) を明示的にターゲットとするポリシーで構成されているアクセス制御によって異なります。
変更されない点
- アプリケーション (パブリックまたは機密) がベースライン スコープ (
Mail.Readなど) を超えるスコープを要求した場合、アプリケーションは既に条件付きアクセスの適用の対象となります。 この動作は変更されません。 - すべてのリソース ポリシーから除外され、OIDC スコープのみを要求する機密クライアント アプリケーションの場合、変更は必要ありません。
実行する必要があること
次の表を使用して、アプリケーションに必要なアクションを確認します。
| アプリケーションの種類 | 所有権 | アクションが必要 |
|---|---|---|
| ベースライン スコープのみを要求するパブリック クライアント | [任意] | これらのアプリケーションを条件付きアクセスの適用から除外する必要があるかどうかを確認します。 除外を維持する有効なビジネス上の理由がある場合は、「 ベースライン スコープの設定を使用して従来の動作を保持する」を参照してください。 |
| すべてのリソース ポリシーから除外された、ベースライン ディレクトリ スコープのみを要求する機密クライアント | テナント所有 | 除外がまだ必要かどうかを確認します。 アプリケーション開発者と協力して、基本的なユーザー情報のopenidなどのディレクトリ スコープではなく、アプリが OIDC スコープ (profile、User.Read など) を要求できるかどうかを評価します。 ロールアウト前に更新を完了できない場合は、「 ベースライン スコープの設定を使用してレガシ動作を保持する」を参照してください。 |
| すべてのリソース ポリシーから除外された、ベースライン ディレクトリ スコープのみを要求する機密クライアント | ISVによって所有されている | 除外がまだ必要かどうかを確認します。 ISV と連携して、アプリケーションがディレクトリ スコープではなく OIDC スコープを要求できるかどうかを評価します。 ほとんどの場合、OIDC スコープは、これらのシナリオに必要な最小特権アクセスを提供します。 ISV が時間内に更新できない場合は、「 ベースライン スコープの設定を使用して従来の動作を保持する」を参照してください。 |
Important
テナントが所有するパブリック クライアント アプリケーションと機密クライアント アプリケーションの両方で、アプリケーションが条件付きアクセスの課題 (MFA やデバイスコンプライアンスなど) を処理できることを確認します。 そうでない場合は、アプリケーションの更新が必要になることがあります。 アプリケーションを適切に更新する方法については、 条件付きアクセス開発者向けガイダンス を参照してください。
影響を評価する方法
適用の変更をプレビューする
ロールアウトが開始される前に、強化された適用動作をプレビューできます。
- 条件付きアクセス管理者以上として、Microsoft Entra 管理センターにサインインします。
- 条件付きアクセスの [ベースライン スコープ] 設定 にアクセスします。 プレビュー設定を表示するには、この直接リンクが必要です。
- 既定のターゲット リソース (Windows Azure Active Directory) を選択します。
- 保存を選びます。
注
この設定により、すべての リソース ポリシーに対して更新された条件付きアクセスの動作がすぐに有効になり、除外されます。
その結果、以前は CA の適用の対象ではなかった一部のユーザー サインインが、ターゲット リソースとしてWindows Azure Active Directoryを使用して条件付きアクセスで評価および適用される可能性があります。
従来の動作に戻すには、[ベースライン スコープの設定] から [リセット] を選択します。
カスタム ターゲット リソースが選択されていない場合、ベースライン スコープの既定のターゲット リソースとしてWindows Azure Active Directoryに基づくロールアウトが段階的に適用されます。
カスタム ターゲット リソースを使用して影響を受けるアプリケーションを特定する
ベースライン スコープの設定を使用して、影響を受けるテナント内のアプリケーションを特定できます。 プレビュー設定が有効になると、アプリケーションがベースライン スコープを要求するサインイン イベントで、サインイン ログに条件付きアクセス対象ユーザーとしてカスタム アプリケーションが一覧表示されます。 詳細については、「 条件付きアクセスに関するサインインの問題のトラブルシューティング」を参照してください。
影響を受けるアプリケーションのクエリ
次のMicrosoft Graph クエリを使用して、ベースライン スコープのみを要求するアプリケーションを一覧表示します。
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
<your-custom-app-id>をカスタム アプリケーションのアプリ ID に置き換えます。
このクエリの結果は、複数の期間にわたって、ベースライン スコープのみを要求するクライアント アプリケーションの一覧を提供します。
ベースライン スコープの設定で従来の動作を保持する
注
Microsoftでは、新しい適用モデルに合わせることをお勧めします。 ベースライン スコープの設定は、従来の動作を必要とする特定のシナリオがある場合にのみ使用します。
ベースライン スコープ設定はテナント レベルの構成であり、ベースライン スコープのターゲット リソースとしてカスタム テナント所有アプリケーションを使用できます。 このカスタム アプリケーションを特定の [すべてのリソース] ポリシーから除外することで、従来の動作を保持できます。
この設定を使用するユーザー
従来の動作を保持する必要がある特定のシナリオがある場合は、この設定を使用します。 たとえば、次のようなシナリオが考えられます。
- 準拠しているデバイス許可制御が必要なすべてのリソース ポリシー: アンマネージド デバイスからアクセスできる必要があるため、このポリシーから除外されるアプリケーション。
- アプリ保護ポリシー付与制御が必要なすべてのリソース ポリシー: Intune SDK と統合されておらず、アプリ保護ポリシーを満たしていないクライアント アプリケーション。
- ブロック制御を持つすべてのリソース ポリシー: ブロック ポリシーから除外する必要があるクライアント アプリケーション。
- 準拠しているデバイス要件から除外する必要があるパブリック クライアント: 特定のセキュリティとコンプライアンス上の理由により。
FAQ
ロールアウトの前に強制変更をプレビューするにはどうすればよいですか?
https://aka.ms/BaselineScopesSettingsUX に移動し、既定のターゲット リソース (Windows Azure Active Directory) を選択し、Save を選択します。 この設定により、すぐに改善された動作が適用されます。 元に戻すには、[ リセット] を選択します。 詳細については、「 適用の変更をプレビューする」を参照してください。
ロールアウト後に従来の動作を保持するにはどうすればよいですか?
ベースライン スコープ設定を使用して、カスタム テナント所有アプリケーションをベースライン スコープのターゲット リソースとして割り当て、そのアプリケーションをすべてのリソース ポリシーから除外します。 詳細については、「 ベースライン スコープの設定を使用して従来の動作を保持する」を参照してください。
すべてのアプリケーションを更新する必要がありますか?
No. ベースライン スコープのみを要求し、リソースを除外するすべてのリソース ポリシーの影響を受けるアプリケーションにのみ注意が必要です。 ベースライン ( Mail.Read など) を超えるスコープを要求するアプリケーションは、既に条件付きアクセスの適用対象であり、この変更の影響を受けません。