条件付きアクセスの「アクセス制御」に条件設定する項目がある理由
条件付きアクセスの設定は大きく「①割り当て」「②アクセス制御」の二つの項目があります。
いわゆる、”条件(アクセス元のIP、アクセス先サービス、デバイスの状態などなど)”は「①割り当て」の項目で設定しますが、「②アクセス制御」の項目においても、「Microsoft Entra ハイブリッド参加済みデバイスが必要」といった”条件”を設定する項目(以下の図の赤枠部分)があります。
「①割り当て」で設定する条件と「②アクセス制御」で設定する条件で何か違いがあるか確認してみました。
結論
実装の経緯から、thenに配置しているだけであり、thenに配置しなくてはいけない明確な理由はなさそうでした。
詳細興味ある方は、以下をお読みください。
条件付きアクセスの実装詳細
条件付きアクセスは「指定した条件に合ったサインイン (if) に対して、ポリシーを適用し制御を適用 (then) する」という仕組みとなっています。
—– 該当部分抜粋 —–
条件付きアクセスポリシーの最も単純なものは、if-then ステートメントであり、ユーザーは、リソースにアクセスする場合は (if)、アクションを完了する必要があります (then)。
————————–
出典:https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fentra%2Fidentity%2Fconditional-access%2Foverview&data=05%7C02%7Cyukanatsuki%40microsoft.com%7Ce58cbd1648334d8825f208dd45976564%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638743238799872385%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=q5duKLcLRsQ2vNXgEQpwYLosKrYEd63Kceh%2BcTEzn2c%3D&reserved=0
「①割り当て」の項目では”if”、「②アクセス制御」の項目では “then" に該当する制御を指定します。
例えば、「②アクセス制御」に「デバイスは準拠しているとしてマーク済みである」という項目があります。
オリジナル (英語) 表記だと “Require device to be marked as compliant"、つまり「デバイスが準拠しているとしてマーク済みであることを要求する」という意味合いになります。
この制御では、条件を満たさない場合にはアクセスをブロックのうえ、デバイスを準拠状態とすることを促すメッセージの表示を行います。
日本語表記 「デバイスは準拠しているとしてマーク済みである)」では条件のみ求めているようにも読みとれる表記ではありますが、割り当ての項目で指定する、ユーザーとリソースの組み合わせに合致するアクセスに対して、準拠済みデバイスを要求する “then" に該当する制御とイメージとなります。
thenの項目の中に、ifに入っていてもいいような項目があるのはなぜか
if で条件に合致した後にしかできない項目(追加のMFAの要求など)がthenで記載されているのは理解できるのですが、「Microsoft Entra ハイブリッド参加済みデバイスが必要(A)」や、「デバイスは準拠しているとしてマーク済みである(B)」のような項目は、ifの中に入れられそうな項目がですが、thenに配置されているのは、どのような理由なのでしょうか。
こちらは、MSサポートに確認してみましたしたが、実装の経緯から、thenに配置しているだけであり、thenに配置しなくてはいけない明確な理由はなさそうでした。
■MSサポート回答要旨(原文から一部修正しています)
実装当時の条件付きアクセス機能においては、現在のように “条件” を詳細に構成するオプション自体がございませんでした。過去の実装もふまえ、現在も “then" の制御として提供しているものとご認識ください。Intune などの他サービスと連携している項目が、thenに配置されているといった関係もありません。