【2025年10月7日開催】条件付きアクセスポリシーには落とし穴がある!?継続的アクセス評価で最強のアクセス制御を実現!

条件付きアクセスポリシーとは(おさらい)

Entra IDによるユーザ認証後に、ユーザがクラウドサービス(Microsoft 365など)にアクセスする際に、細かな条件に応じて、アクセスを制御できる機能

条件付きアクセスポリシーのよくある使われ方

例:送信元がグローバルIP①以外の場合、アクセスをブロックする

条件付きアクセスポリシーの落とし穴

以下のケースについて考えてみください(クラウドサービス=Salesforceの例)

・「送信元がグローバルIP①以外の場合、アクセスをブロックする」条件付きアクセスポリシーが有効

・ユーザAが、グローバルIP①の配下からEntra IDでのに認証後に、社外へ移動

・ユーザAは、Salseforceにアクセスできるのでしょうか

答え

以下の通り、Salesforce側に一度ログインできているので、SalesforceとHTTPセッションが維持されるため、

Salesforceには継続的にアクセスできてしまう(本来はブロックした通信なので、望ましい状態ではない

アクセス先がM365アプリの場合はどうなるか

条件は、先ほどのSalesforceの例と同じとします。

答え

M365アプリ側にログインできているが、ユーザAからのアクセスを受けるたびに、M365アプリはそのアクセスが条件付きアクセスポリシーに違反していないかチェックしている(=継続的アクセス評価)ため、M365への継続アクセス不可

SalesforceとM365アプリで、結果が異なるのはなぜか?

クラウドサービスが、継続的アクセス評価機能(ユーザからのアクセスが、条件付きアクセスポリシーに違反していないか常にチェックする機能)を有しているか、否かの違いです。

継続的アクセス評価を実現しようとすると、クラウドサービスが、条件付きアクセスポリシーの情報にアクセスできる必要があるため、基本的には、Microsoft 365アプリのみが継続的アクセス評価機能を具備している。

現時点では、SharePoint Online、Exchange Online、Teamsが継続的アクセス評価機能を具備しています。
★ただし、利用するクライアントアプリによって動作可否が変わります。詳細は、以下MSサイトを参照ください。https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-continuous-access-evaluation#conditional-access-policy-evaluation

(Salesforceなどの)サードパーティのクラウドサービスは、継続的アクセス評価機能を具備していないので、条件付きアクセスポリシーの落とし穴の影響を受ける可能性があるので注意が必要です。