条件付きアクセスのアプリケーションフィルターについて

こんにちは。アイシーティーリンクの国分です。

今日はAzureの条件付きアクセスで検索できないアプリを登録する方法を記載します。

前置き

条件付きアクセスでは特定のアプリケーション（Office365など）を利用する場合にのみ、条件付きアクセスが適用されるようなポリシーを記載することができます。
ですが、すべてのアプリケーションを指定することはできません。
そこで、条件付きアクセスの新機能である「アプリケーションフィルター」を利用することにより、条件付きアクセスのアクセス制御に様々なアプリケーションを指定することが可能になります。

条件付きアクセスアプリケーション設定

アプリケーションフィルターとは

カスタム セキュリティ属性でサービス プリンシパルにタグをつけ、そのタグに基づいたポリシーを構成すれば、条件付きアクセスにて選択できるようになり、一括操作でアクセス制御の実現も可能になります。

※2023年2月時点ではプレビュー機能となっています。

条件付きアクセス ポリシーでのアプリケーションのフィルター (プレビュー) - Azure Active Directory - Microsoft Entra

アプリケーションフィルターの設定方法

• 　ロールの割り当て及びカスタム属性の作成
  アプリケーションフィルター機能を使用するには、まず「属性割り当て管理者」と「属性定義管理者」という二つのロールの付与されたユーザーが必要になります。カスタム セキュリティ属性はセキュリティ上重要であるため、委任されたユーザーのみが管理できます。 グローバル管理者でも、カスタム セキュリティ属性に対する既定のアクセス許可は付与されません。

• 属性セットの作成
  Azure ADより「カスタム セキュリティ属性(プレビュー)」を選択します。

「属性セットの追加」をクリックします。

任意の名称を入力し追加をクリックします。

追加した属性セットをクリックし、続けて「属性の追加」をクリックします。

属性名、データ型を入力し、定義済みの値を追加します。
今回は「My Profile」というアプリケーションを条件付きアクセスで制御するアプリケーションとして登録します。入力完了後に「保存」をクリックします。

以上が、アプリケーションフィルターの設定方法となります。

アプリケーションフィルターを条件付きアクセスに設定する方法

• 条件付きアクセスの「クラウド アプリまたは操作」>「アプリを選択」>「フィルターの編集」をクリックします。

• フィルターの編集画面より下記画像の通り設定します。設定を「完了」をクリックします。

カスタム属性をアプリケーションに割り当てる方法

• Azure ADのエンタープライズアプリケーションを画面の表示します。

• アプリケーションの種類を「すべてのアプリケーション」に設定します。

• 「My Profile」を選択します。

• 選択したアプリのメニューから「カスタム セキュリティ属性(プレビューー)」を選択します。

• 「割り当ての追加」をクリックします。

• 属性セット、属性名、割り当てられた値を入力し、「保存」をクリックします。

まとめ

以上がアプリケーションフィルター機能を利用した、条件付きアクセスへのアプリケーション追加手順となります。
現段階ではプレビューですが、正式ローンチされれば条件付きアクセス設定の柔軟性が向上すると考えています。