Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
失敗しない条件付きアクセス Season 3
Search
Kunii, Suguru
May 06, 2022
Technology
4
4.7k
失敗しない条件付きアクセス Season 3
2022年5月現在のAzure AD 条件付きアクセスについて解説しています。
Kunii, Suguru
May 06, 2022
Tweet
Share
More Decks by Kunii, Suguru
See All by Kunii, Suguru
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
630
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
51
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
640
なんでもCopilot for Security
sophiakunii
3
4.4k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
130
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
450
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
0
240
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
4.7k
Microsoft Cloud Security Benchmarkから学ぶMicrosoft Defender for Cloud
sophiakunii
4
860
Other Decks in Technology
See All in Technology
Wvlet: A New Flow-Style Query Language For Functional Data Modeling and Interactive Data Analysis - Trino Summit 2024
xerial
1
110
Amazon VPC Lattice 最新アップデート紹介 - PrivateLink も似たようなアップデートあったけど違いとは
bigmuramura
0
190
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
530
ブラックフライデーで購入したPixel9で、Gemini Nanoを動かしてみた
marchin1989
1
520
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
530
ハイテク休憩
sat
PRO
2
140
祝!Iceberg祭開幕!re:Invent 2024データレイク関連アップデート10分総ざらい
kniino
2
260
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
32k
サービスでLLMを採用したばっかりに振り回され続けたこの一年のあれやこれや
segavvy
2
410
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
150
多領域インシデントマネジメントへの挑戦:ハードウェアとソフトウェアの融合が生む課題/Challenge to multidisciplinary incident management: Issues created by the fusion of hardware and software
bitkey
PRO
2
100
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
440
Featured
See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Music & Morning Musume
bryan
46
6.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.1k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Visualization
eitanlees
146
15k
The Language of Interfaces
destraynor
154
24k
Statistics for Hackers
jakevdp
796
220k
For a Future-Friendly Web
brad_frost
175
9.4k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.3k
Optimising Largest Contentful Paint
csswizardry
33
3k
A Philosophy of Restraint
colly
203
16k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Transcript
失敗しない条件付きアクセス Season 3 国井 傑 (くにい すぐる) 株式会社エストディアン MICROSOFT 365
VIRTUAL MARATHON 2022 MAY, 4 – 6, 2022
M365VIRTUALMARATHON.COM #M365VM MICROSOFT 365 VIRTUAL MARATHON 2022 SPONSORS
M365VIRTUALMARATHON.COM #M365VM 国井 傑 (くにい すぐる) 株式会社エストディアン
Microsoft MVP for Enterprise Mobility Microsoft Certified Trainer https://AzureAD.net 自己紹介 NEW!
m365virtualmarathon.com #M365VM 増刷決まりました
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
前回までの「失敗しない条件付きアクセス」
6 【基本】条件付きアクセスとは • Azure AD 経由でクラウド アプリ等にアクセスする際に、 そのアクセス制御をするサービス (Azure AD
Premium P1 以上必須) • Azure AD 管理センター (https://aad.portal.azure.com) [セキュリティ] - [条件付きアクセス] より設定 ▪ 条件付きアクセスの設定例 など Intune 登録デバイスのみ許可 MFA 成功した場合のみ許可 特定 OS からのアクセス時のみ許可
7 【基本】条件付きアクセス ポリシーの構成要素 (論理ビュー) ID アプリ データ デバイス Azure AD
条件付きアクセス クラウド アプリ
8 【基本】条件付きアクセス ポリシーの構成要素 (メニュービュー) 条件 サインイン リスク ユーザー/グループ クラウドアプリ デバイス
OS 種類 場所 クライアント アプリ 許可/拒否 デバイスの属性 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control)
9 ベストプラクティス ポリシーに沿った運用を目指す 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期
アカウント ユーザータイプ ポリシー
10 ベストプラクティス ポリシー (アプリ種類別) ゲストのアプリアクセス ジャンル ポリシー ロックダウンポリシーグループ クラウド アプリ別
クライアント アプリ別 ゲスト用 ポリシー グループ アプリ
11 ベストプラクティス ポリシー (セキュリティ強度別) ジャンル ポリシー ベースライン ポリシーグループ デバイス別ポリシー 強力なセキュリティ
ポリシー
12 利用するデバイスによってアクセス制御を行いたい 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期 アカウント
ユーザータイプ ポリシー
13 業務利用のデバイスの定義 COBO Company Owned Business Only BYOD Bring Your
Own Device COPE Company Owned Personally Enabled ・ Azure AD 参加 + Intune ・ ハイブリッド Azure AD 参加 (+ Intune) ・ Intune 以外の MDM 利用 ・ 登録なし ・ Azure AD 参加 + Intune ・ ハイブリッド Azure AD 参加 (+ Intune) ・ Intune 以外の MDM 利用 ・ 登録なし ・ Azure AD 登録 + Intune ・ Intune 以外の MDM 利用 ・ 登録なし
14 アクション 条件/制御を MDA (旧 MCAS) に丸投げして解決 セッション アプリによる制御 ユーザー/グループ
クラウドアプリ アプリの条件付き アクセス サインインの頻度 永続的セッション 条件 条件付きアクセス フィルター User-Agent ファイルの検査 アクティビティ 証明書 アラート ブロック 条件 (Condition) 制御 (Control) Microsoft Defender for Cloud Apps (MDA) ポリシー
15 ベストプラクティス ポリシー (いままで) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、
同期 アカウント ユーザータイプ ポリシー
16 ベストプラクティス ポリシー (これから) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント
ユーザータイプ ポリシー COBO/COPE BYOD BYOD
17 To Be ゼロ トラストを意識したアクセス制御を目指す As Is ステップ 1 :
IP アドレス ベースの信頼 ステップ 2 : MDA による証明書ベースのデバイス信頼※ ステップ 3 : Intune 登録ベースのデバイス信頼 今の時代にあった「信頼できるアクセス」を 定義し、アクセス制御を実装したいですね ステップ 4 : ポリシー ベースのデバイス信頼 ※「条件付きアクセスを利用した証明書認証」より https://azuread.net/2020/04/03/ca-mcas/
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
今回はこれまでの話をベースに 役立つ (かもしれない) Tips & Tricks をお伝えします
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
1. Azure AD のデバイス登録種類に関わらず アクセス制御したい
20 Azure AD のデバイス登録種類に関わらずアクセス制御したい ハイブリッド Azure AD 参加以外でも Azure AD
に 登録されているデバイスを識別できるようになりました
21 【設定】条件付きアクセス ポリシーの構成要素 条件 サインイン リスク ユーザー/グループ クラウドアプリ デバイス OS
種類 場所 クライアント アプリ 許可/拒否 デバイスの属性 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control)
22 デバイス種類に合わせたアクセス制御パターン Intune 登録またはハイブリッド Azure AD 参加で判定 証明書で判定 いずれかの Azure
AD デバイス 登録が行われているかで判定 (Windows のみ) Azure AD 登録されているか で判定 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled
23 条件付きアクセスでの業務デバイスの識別方法 (いままで) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして
マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 Azure AD 参加 Intune 以外の MDM +Azure AD 登録 Azure AD 登録 登録なし MDA による証明書認証
24 条件付きアクセスでの業務デバイスの識別方法 (これから) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして
マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター Azure AD 参加 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Intune 以外の MDM +Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 登録なし MDA による証明書認証
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
2. デバイスの属性に基づいてアクセス制御したい
26 デバイスの属性に基づいてアクセス制御したい Azure AD に登録されているデバイスであれば デバイスの属性に基づいてデバイスを識別できるようになりました
27 利用可能な属性一覧 deviceId displayName deviceOwnership isCompliant manufacturer mdmAppId model operatingSystem
physicalIds profileType systemLabels trustType extensionAttribute1-15 https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-condition-filters-for-devices ▪利用可能な属性一覧 ▪利用例 コンピューター名が DT で始まる場合 displayName StartsWith DT デバイスが Microsoft Surface の場合 model Contains Surface OS バージョンが 10.0.19044 の場合 operatingSystemVersion Contains 10.0.19044 COPE として配布したデバイスの場合 extensionAttribute1 Equals COPE
28 【参考】extensionAttribute の設定 https://azuread.net/archives/11727 #モジュールのロード Install-Module -Name MSAL.PS -AcceptLicense #パラメーター
$ClientId = "クライアントID" $RedirectUri = "https://login.microsoftonline.com/common/oauth2/nativeclient" $TenantId = "テナントID" #トークンの取得 $authResult = Get-MsalToken -ClientId $ClientId -RedirectUri $RedirectUri -TenantId $TenantId -Interactive $Token = $authResult.Accesstoken #extensionAttribute属性の設定 $apiUrl=https://graph.microsoft.com/beta/devices/e8de6f3e-a509-4d1c-b4a8-ca283148e15a/extensionAttributes $body = ‘{ “extensionAttributes”: { “extensionAttribute1”: “COPE” } }’ Invoke-RestMethod -Headers @{Authorization = "Bearer $token"; "Content-type" ` ="application/json"} -Uri $apiUrl -Method patch -Body ` $body Microsoft Graph を利用して登録します。Azure AD への事前 設定などは https://azuread.net/archives/11727 にてどうぞ。
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
3. デバイスの属性ではなく、状態に基づいてアクセス制御したい
30 条件を Inutne で判断させることで判断基準を拡張できる ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否
許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE マルウェア対策クライアントの バージョンが 4.18.2203.5 以上であれば準拠
31 4月の品質更新までがインストールされているデバイスだけ許可したい 品質更新プログラムはインストールするとビルド番号が変わります。 そのため、Intune コンプライアンスポリシーを使って識別します。 https://support.microsoft.com/en-us/topic/april-12-2022-kb5012599-os-builds-19042- 1645-19043-1645-and-19044-1645-548cc67c-7f12-46fd-878e-589ba81ac2f5
32 4月の品質更新までがインストールされているデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠
許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE OS バージョンが 10.0.19044.1645 以上であれば準拠
33 マルウェア感染していないデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス コンプライアンス設定 カスタム コンプライアンス システム
セキュリティ デバイスのプロパティ デバイスの正常性 条件 (Condition) 制御 (Control) Intune コンプライアンス ポリシー 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ MDE 状態 リスクレベル 露出レベル Microsoft Defender for Endpoint (MDE)
34 特定の KB がインストールされているデバイスだけ許可したい 特定の Knowledge Base (KB) に対応する HotFix
をインストー ルしていることを条件にする場合、HotFix がインストールされている ことを PowerShell で確認し、その結果をもとに判定します https://azuread.net/archives/11757 #KB 番号 $patch = “KB4593175” #デバイスにインストールされている事を確認 $ep = (Get-HotFix).HotFixID | where {$_ -eq $patch} if ($ep -eq $patch){$hash = @{ Patch = $true}} else {$hash = @{ Patch = $false}} return $hash | ConvertTo-Json -Compress インストールされていれば True そうでなければ False を返す
35 特定の KB がインストールされているデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否
許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE KB4593175 が インストール されていれば準拠 PowerShell スクリプト
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
4. 不適切なデバイス登録をさせない
37 Intune 登録を制限したい Intune 登録を条件付きアクセスで制御する場合、 主に2つの方法があります
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
5. 登録されていないデバイスを制御したい
39 登録されていない BYOD デバイス デバイス登録なし いずれかの Azure AD デバイス 登録が行われているかで判定
(Windows のみ) ベストプラクティスでは MFA でアクセス可否を決定 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled
40 MFA 以外の方法でのアクセス制御 MDA セッション ポリシーの利用 Microsoft Purview Information Protection
によるコンテンツ保護 (条件付きアクセス関係ないけど…) Intune MAM ポリシー (MAM-WE) によるアクセス制御 + 条件付きアクセスによる、そのほかのアクセスの制限 BYOD Bring Your Own Device
41 ここまでのまとめ (登録デバイスの識別) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして
マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター Azure AD 参加 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Intune 以外の MDM +Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 登録なし MDA による証明書認証 COBO/COPE では 利用したくない
42 ここまでのまとめ (属性,状態ベースの識別) 登録のチェック 属性のチェック 状態のチェック Intune 登録デバイス CA:準拠済みデバイス CA:デバイスのフィルター
CA:デバイスのフィルター IN:コンプライアンス ポリシー IN:コンプライアンスポリシー MDE:リスクレベル ハイブリッド Azure AD 参加 CA:デバイスのフィルター CA:Hybrid Azure AD Join CA:デバイスのフィルター Azure AD 参加 CA:デバイスのフィルター CA:デバイスのフィルター Intune 以外の MDM +Azure AD 登録 CA:デバイスのフィルター CA:デバイスのフィルター Azure AD 登録 CA:デバイスのフィルター CA:デバイスのフィルター 登録なし MDA:証明書の有無 MDA:User-Agent チェック MAM-WE: コンテンツアクセスの制限 MDA:アクティビティチェック CA:条件付きアクセス, IN:Intune の略称です
43 ベストプラクティス構成例(1) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー
COBO/COPE/BYOD iOS, Android はどうする?
44 ベストプラクティス構成例(2) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー
COBO/COPE BYOD BYOD ブラウザー アクセス アプリアクセス
45 ベストプラクティス構成例(3) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー
COBO/COPE BYOD ブラウザー アクセス
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
6. そのほか知っていると役立つこと
47 設定をエクスポート/インポートしたい 検証環境/本番環境で条件付きアクセス設定をスイッチング したいときにエクスポート/インポート設定が役立ちます https://github.com/Micke-K/IntuneManagement
48 設定をエクスポート/インポートしたい ベストプラクティス ポリシーの JSON ファイルはこちらから https://github.com/sophiakunii/CABestPractice
49 サインイン後の面倒な画面を出さないでほしい サインインの状態の選択を 自動的に行うように構成できます
50 まとめ デバイス信頼への道は登録から ポリシーベースのデバイス信頼 ベストプラクティスからはじめよう 登録されていない BYOD デバイス
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
https://forms.office.com/r/qCXhcZZUgU スピーカーおよびイベント への感想やご意見 アンケートにご協力ください