M365の認証に外部IDPを利用しつつ、認可に条件付きアクセスは利用可能か
Microsoft Entra ID のユーザー認証を「外部 IdP」に委任しているフェデレーション ユーザーへ、条件付きアクセスポリシーによるアクセス制御の適用する際の動作についてです。
結論からですが、フェデレーション ユーザーであっても条件付きアクセスによるアクセス制御は問題なく適用可能です。
条件付きアクセスは認証・認可の認可の処理として動作します。
フェデレーション ユーザーでは、認証処理が外部のフェデレーション サービスに委任されている状況となりますが、フェデレーション サービス側のユーザー認証後に Microsoft 365 などクラウド リソースへアクセスする際には認可の処理として条件付きアクセスの判定が行われます。