Microsoft Entra ID(旧称 Azure AD)を利用している中には、
「海外からの不正アクセスを防ぎたい」「日本国内のみからのログインを許可したい」
というセキュリティニーズを持つ方も多いのではないでしょうか。
この記事では、Entra ID の「ネームド ロケーション」機能を活用して、
日本以外からのすべてのログインをブロックする条件付きアクセス ポリシーの設定手順を、
解説します。
日本以外からのログインをブロックする方法(Microsoft Entra ID)
前提条件:P1 ライセンス以上が必要
ネームド ロケーションを使うには、Microsoft Entra ID P1 以上のライセンスが必要です。事前にライセンス状態をご確認ください。
1. ネームド ロケーションの作成(日本を許可)
- Azure ポータル(https://portal.azure.com
- 左側メニューから [Microsoft Entra ID] をクリックします。
- [セキュリティ] → [(管理)]→[ネームド ロケーション] をクリックします。
- [+国の場所] をクリックします。
- 「名前」に「Japan Only」など任意の名称を入力します。
- [日本] のチェックボックスにチェックを入れます。
- [作成] をクリックします。
この設定により、日本国内の IP アドレス帯のみを許可する条件が作成されました。
2. 条件付きアクセス ポリシーの作成
- [Microsoft Entra ID] → [セキュリティ] → [条件付きアクセス] をクリックします。
- [新しいポリシー] をクリックします。
- [名前] に「Block non-Japan Login」など任意のポリシー名を入力します。
ユーザーの対象設定
- [ユーザーとグループ] をクリックします。
- [対象] タブで [すべてのユーザー] を選択します。
- [対象外] タブで [ユーザーと
- グループの選択] を選択し、現在操作している管理者アカウントを選んでおきます(推奨)。
- ※万が一のロックアウトを防ぐため、少なくとも管理者アカウントは除外対象に設定しておくと安全です。
アプリの対象設定
[クラウド アプリまたはアクション] → [すべてのクラウド アプリ] を選択します。
※特定のアプリだけを制限したい場合は [アプリを選択] を使ってください。
場所条件の設定
- [条件] → [場所] をクリックします。
- 「構成」で [はい] を選択します。
- [対象] タブで [すべての場所] を選択します。
- [対象外] タブで [選択された場所] を選び、前項で作成した「Japan Only」のネームド ロケーションを選択します。
アクセスの制御設定
- [アクセス制御] → [許可] をクリックします。
- [アクセスのブロック] を選択します。
※代わりに「アクセスを許可する」+「多要素認証を要求する」を選べば、日本以外では MFA を必須にする設定も可能です。
ポリシーの有効化と作成
- 「ポリシーの有効化」で [オン] を選択します。
- 最後に [作成] をクリックします。
まとめ
Microsoft Entra ID の条件付きアクセスとネームド ロケーションを組み合わせることで、日本以外からのアクセスを厳格に制御できます。設定のポイントをおさらいします。
- Microsoft Entra ID P1 以上のライセンスが必要
- ネームド ロケーションで「日本」を指定して登録
- 条件付きアクセスで「すべての場所」をブロックし、日本だけを除外
- 管理者アカウントを除外対象に設定してロックアウトを回避
このような設定により、海外からの不正アクセス対策として有効な構成が実現できます。
Microsoft 365 環境のセキュリティを強化したい方は、ぜひ本設定をご検討ください。
コメント