ラボ: Microsoft Entra 条件付きアクセス

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft Entra の機能について説明する
  • モジュール: Microsoft Entra のアクセス管理機能について説明する
  • ユニット: 条件付きアクセスについて説明する

ラボのシナリオ

このラボでは、管理者およびユーザーの視点から、条件付きアクセス MFA の詳細を確認します。 管理者として、Microsoft 管理ポータルにアクセスするときにユーザーに多要素認証を要求するポリシーを作成します。 ユーザーの視点から、MFA に登録するためのプロセスを含む、条件付きアクセス ポリシーの影響を確認します。

推定時間:30 分

タスク 1

このタスクでは、管理者として、ユーザー “Debra Berger” のパスワードをリセットします。 この手順は、後続のタスクで最初にユーザーとしてサインインできるようにするために必要です。

  1. Microsoft Edge を開きます。 アドレス バーに「https://entra.microsoft.com」と入力し、管理者の資格情報でサインインします。
    1. [サインイン] ウィンドウで、「admin@WWLxZZZZZZ.onmicrosoft.com」 (ZZZZZZ はラボ ホスティング プロバイダーから指定された固有のテナント ID) と入力してから、[次へ] を選択します。
    2. ラボ ホスティング プロバイダーから提供されている管理者パスワードを入力します。 [サインイン] を選択します。
    3. 以前に管理者としてログインしたことがある場合は、MFA の一部として、セカンダリ認証を完了するように求められる場合があります。 以前に管理者としてログインしたことがない場合は、MFA 登録プロセスを完了するように求められる場合があります。 画面の指示に従って MFA を設定します。
    4. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。

  2. 左側のナビゲーション ウィンドウで [ID][ユーザー] の順に展開し、 [すべてのユーザー] を選びます。

  3. ユーザーの一覧から、[Debra Berger] を選択します。

  4. ページの上部から、[パスワードのリセット] を選択します。 Debra Berger として以前にサインインしたことがなく、そのパスワードがわからないため、パスワードをリセットする必要があります。

  5. [パスワードのリセット] ウィンドウが表示されたら、[パスワードのリセット] を選択します。 重要: 後のタスクで、ユーザーとしてサインインできるように、新しいパスワードを控えておいてください。

  6. ページの右上隅にある [X] を選んでパスワード リセット ウィンドウを閉じてから、ページの右上隅にある [X] を選んで Debra Berger のウィンドウを閉じます。

  7. 左ナビゲーション パネルで [ホーム] を選んで Microsoft Entra 管理センターに戻ります。

  8. このウィンドウを開いたままにしておきます。

タスク 2

このタスクでは、Microsoft Entra ID で条件付きアクセス ポリシーを作成するプロセスを実行します。

  1. ブラウザー タブで Microsoft Entra 管理センターのホーム ページを開きます。 ブラウザー タブを既に閉じている場合は、Microsoft Edge を開き、アドレス バーに「 https://entra.microsoft.com 」と入力して、ALH から提供された Microsoft 365 管理者の資格情報を使ってサインインします。

  2. 左側のナビゲーション ウィンドウで、[保護] を展開し、[条件付きアクセス] を選びます。

  3. [条件付きアクセスの概要] ページが表示されます。 ここでは、ポリシーの概要と一般的なアラートを示すタイルが表示されます。 左ナビゲーション パネルで [ポリシー] を選びます。

  4. 左ナビゲーション パネルで [ポリシー] を選びます。 既存の条件付きアクセス ポリシーが一覧に表示されます。 [新しいポリシー] を選択します。

  5. 「名前」フィールドに、「管理ポータルのブロック」と入力します。

  6. [ユーザー] で [0 人のユーザーとグループが選択されました] を選びます。

  7. ユーザーまたはグループを含める、または除外するオプションが表示されます。 [含める] が選択されていることを確認します (下線)。

  8. [ユーザーとグループの選択] のオプションを選択し、[ユーザーとグループ] を選択します。 [ユーザーまたはグループの選択] ウィンドウが開きます。

  9. 検索バーに、「Debra」と入力します。 検索バーの下で Debra Berger を選択してから、ページの下部で [選択] ボタンを選択します。 一般的な方法は、グループ内のユーザーにポリシーを割り当てることです。 このラボでの目的の便宜上、特定のユーザーにポリシーを割り当てます。

  10. [ターゲット リソース] で [ターゲット リソースが選択されていません] を選びます。

  11. [このポリシーが適用される対象を選択する] の下のフィールドで下矢印を選び、使用できるオプションを確認します。 既定の設定である [クラウド アプリ] のままにします。 [含める] タブに下線が付いていることを確認します。 [アプリの選択] を選び、[選択] の下にある [なし] を選びます。 [クラウド アプリの選択] ウィンドウが開きます。

  12. Microsoft 管理ポータルを選択し、ページの下部にある [選択] を押します。 警告に注目してください。

  13. [ネットワーク] で、[任意のネットワークまたは場所] を選択します。 オプションを確認しますが、オプションは選択しないでください。

  14. [条件] で、[0 個の条件が選択されました] を選択します。 構成できるさまざまなオプションに注目してください。 ポリシーを通して、デバイスのユーザー リスク、サインイン リスク、デバイス プラットフォーム、場所、クライアント アプリ、フィルターなどの条件からの信号に基づいて、ユーザー アクセスを制御できます。 これらの構成できるオプションを確認してください。ただし、条件は設定しないでください。

  15. 次に、アクセス制御を設定します。 [許可] で、[0 個の制御が選択されました] を選択します。

  16. [許可] ウィンドウが開きます。 [アクセスのブロック] を選択します。 ページの下部の [選択] を押します。

  17. ページの下部の [ポリシーの有効化] で、[オン] を選んでから [作成] を選びます。

  18. 左側のナビゲーション ウィンドウで、 [ポリシー] を選びます。 MFA Pilot ポリシーが、条件付きアクセス ポリシーの一覧に表示されるはずです (必要に応じて、ページの上部のコマンド バーにある [更新] アイコン を選びます)。

  19. 画面右上隅のメール アドレスの隣のユーザー アイコンを選択し、[サインアウト] を選択してサインアウトします。次に、すべてのブラウザー ウィンドウを閉じます

タスク 3

このタスクでは、ユーザー Debra Berger の視点から、条件付きアクセス ポリシーの影響を確認します。 最初に、条件付きアクセス ポリシーに含まれないアプリケーション (https://login.microsoftonline.com) の Microsoft 365 ポータル) にサインインします。 次に、条件付きアクセス ポリシーに含まれるアプリケーション (https://portal.azure.com) の Azure portal) でこのプロセスを繰り返します。 このポリシーでは、Azure portal を含むすべての Microsoft 管理ポータルへのアクセスがブロックされることを思い出してください。 注: セキュリティ上の理由から、すべてのポータルにアクセスするすべてのユーザー アカウントで MFA を使用する必要があります。 MFA 要件は、このラボの演習では扱いません。

  1. Microsoft Edge を開きます。 アドレス バーに「https://login.microsoftonline.com」と入力します。
    1. DebraB@WWLxZZZZZZ.onmicrosoft.com としてサインインし (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)、[次へ] を選択します。
    2. 以前のタスクでメモした一時パスワードを入力します。 [サインイン] を選択します。
    3. 管理者としてパスワードをリセットしたときに提供されるパスワードは一時パスワードであるため、提供されたパスワードは後で更新する必要があります。 現在のパスワードを入力し、新しいパスワードを入力し、新しいパスワードを確認入力します。 タスクを完了するために必要になるので、新しいパスワードをメモしておきます。
    4. Debra Berger としてログインするのは初めてなので、MFA のセットアップを求められる場合があります。 画面の指示に従って MFA を設定します。
    5. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。 Microsoft 365 アカウントに正常にログインしているはずです。

  2. 次に、条件付きアクセス ポリシーの基準を満たすアプリケーションへのサインインを試みます。 新しいブラウザー タブを開き、「https://portal.azure.com」と入力します。これは Azure の管理ポータルです。 「これにはアクセスできません」と示されたポップアップ ウィンドウが表示されます。 これは、すべての Microsoft 管理ポータルへのアクセスをブロックする条件付きアクセス ポリシーの結果です。

  3. 画面の右上隅のメール アドレスの隣の [ユーザー] アイコンを選択し、[サインアウト] を選択してサインアウトします。次に、すべてのブラウザー ウィンドウを閉じます。

確認

このラボでは、ポリシーに含まれるすべてのユーザーに対して Microsoft 管理ポータルへのアクセスをブロックする、条件付きアクセス ポリシーの設定プロセスを実行しました。 次に、ユーザーとして Azure ポータルにアクセスするときに、条件付きアクセス ポリシーがどのように影響するかを体験しました。