失敗しない条件付きアクセス Season 3 国井 傑 (くにい すぐる) 株式会社エストディアン MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4 – 6, 2022

M365VIRTUALMARATHON.COM #M365VM MICROSOFT 365 VIRTUAL MARATHON 2022 SPONSORS

M365VIRTUALMARATHON.COM #M365VM  国井 傑 (くにい すぐる)  株式会社エストディアン  Microsoft MVP for Enterprise Mobility  Microsoft Certified Trainer  https://AzureAD.net 自己紹介 NEW！

m365virtualmarathon.com #M365VM 増刷決まりました

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 前回までの「失敗しない条件付きアクセス」

6 【基本】条件付きアクセスとは • Azure AD 経由でクラウド アプリ等にアクセスする際に、 そのアクセス制御をするサービス (Azure AD Premium P1 以上必須) • Azure AD 管理センター (https://aad.portal.azure.com) [セキュリティ] - [条件付きアクセス] より設定 ■ 条件付きアクセスの設定例 など Intune 登録デバイスのみ許可 MFA 成功した場合のみ許可 特定 OS からのアクセス時のみ許可

7 【基本】条件付きアクセス ポリシーの構成要素 (論理ビュー) ID アプリ データ デバイス Azure AD 条件付きアクセス クラウド アプリ

8 【基本】条件付きアクセス ポリシーの構成要素 (メニュービュー) 条件 サインイン リスク ユーザー/グループ クラウドアプリ デバイス OS 種類 場所 クライアント アプリ 許可/拒否 デバイスの属性 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control)

9 ベストプラクティス ポリシーに沿った運用を目指す 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期 アカウント ユーザータイプ ポリシー

10 ベストプラクティス ポリシー (アプリ種類別) ゲストのアプリアクセス ジャンル ポリシー ロックダウンポリシーグループ クラウド アプリ別 クライアント アプリ別 ゲスト用 ポリシー グループ アプリ

11 ベストプラクティス ポリシー (セキュリティ強度別) ジャンル ポリシー ベースライン ポリシーグループ デバイス別ポリシー 強力なセキュリティ ポリシー

12 利用するデバイスによってアクセス制御を行いたい 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期 アカウント ユーザータイプ ポリシー

13 業務利用のデバイスの定義 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled ・ Azure AD 参加 + Intune ・ ハイブリッド Azure AD 参加 (+ Intune) ・ Intune 以外の MDM 利用 ・ 登録なし ・ Azure AD 参加 + Intune ・ ハイブリッド Azure AD 参加 (+ Intune) ・ Intune 以外の MDM 利用 ・ 登録なし ・ Azure AD 登録 + Intune ・ Intune 以外の MDM 利用 ・ 登録なし

14 アクション 条件/制御を MDA (旧 MCAS) に丸投げして解決 セッション アプリによる制御 ユーザー/グループ クラウドアプリ アプリの条件付き アクセス サインインの頻度 永続的セッション 条件 条件付きアクセス フィルター User-Agent ファイルの検査 アクティビティ 証明書 アラート ブロック 条件 (Condition) 制御 (Control) Microsoft Defender for Cloud Apps (MDA) ポリシー

15 ベストプラクティス ポリシー (いままで) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期 アカウント ユーザータイプ ポリシー

16 ベストプラクティス ポリシー (これから) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー COBO/COPE BYOD BYOD

17 To Be ゼロ トラストを意識したアクセス制御を目指す As Is ステップ 1 : IP アドレス ベースの信頼 ステップ 2 : MDA による証明書ベースのデバイス信頼※ ステップ 3 : Intune 登録ベースのデバイス信頼 今の時代にあった「信頼できるアクセス」を 定義し、アクセス制御を実装したいですね ステップ 4 : ポリシー ベースのデバイス信頼 ※「条件付きアクセスを利用した証明書認証」より https://azuread.net/2020/04/03/ca-mcas/

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 今回はこれまでの話をベースに 役立つ (かもしれない) Tips & Tricks をお伝えします

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 1. Azure AD のデバイス登録種類に関わらず アクセス制御したい

20 Azure AD のデバイス登録種類に関わらずアクセス制御したい ハイブリッド Azure AD 参加以外でも Azure AD に 登録されているデバイスを識別できるようになりました

21 【設定】条件付きアクセス ポリシーの構成要素 条件 サインイン リスク ユーザー/グループ クラウドアプリ デバイス OS 種類 場所 クライアント アプリ 許可/拒否 デバイスの属性 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control)

22 デバイス種類に合わせたアクセス制御パターン Intune 登録またはハイブリッド Azure AD 参加で判定 証明書で判定 いずれかの Azure AD デバイス 登録が行われているかで判定 (Windows のみ) Azure AD 登録されているか で判定 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled

23 条件付きアクセスでの業務デバイスの識別方法 (いままで) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 Azure AD 参加 Intune 以外の MDM +Azure AD 登録 Azure AD 登録 登録なし MDA による証明書認証

24 条件付きアクセスでの業務デバイスの識別方法 (これから) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター Azure AD 参加 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Intune 以外の MDM +Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 登録なし MDA による証明書認証

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 2. デバイスの属性に基づいてアクセス制御したい

26 デバイスの属性に基づいてアクセス制御したい Azure AD に登録されているデバイスであれば デバイスの属性に基づいてデバイスを識別できるようになりました

27 利用可能な属性一覧 deviceId displayName deviceOwnership isCompliant manufacturer mdmAppId model operatingSystem physicalIds profileType systemLabels trustType extensionAttribute1-15 https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-condition-filters-for-devices ■利用可能な属性一覧 ■利用例 コンピューター名が DT で始まる場合 displayName StartsWith DT デバイスが Microsoft Surface の場合 model Contains Surface OS バージョンが 10.0.19044 の場合 operatingSystemVersion Contains 10.0.19044 COPE として配布したデバイスの場合 extensionAttribute1 Equals COPE

28 【参考】extensionAttribute の設定 https://azuread.net/archives/11727 #モジュールのロード Install-Module -Name MSAL.PS -AcceptLicense #パラメーター $ClientId = "クライアントID" $RedirectUri = "https://login.microsoftonline.com/common/oauth2/nativeclient" $TenantId = "テナントID" #トークンの取得 $authResult = Get-MsalToken -ClientId $ClientId -RedirectUri $RedirectUri -TenantId $TenantId -Interactive $Token = $authResult.Accesstoken #extensionAttribute属性の設定 $apiUrl=https://graph.microsoft.com/beta/devices/e8de6f3e-a509-4d1c-b4a8-ca283148e15a/extensionAttributes $body = ‘{ “extensionAttributes”: { “extensionAttribute1”: “COPE” } }’ Invoke-RestMethod -Headers @{Authorization = "Bearer $token"; "Content-type" ` ="application/json"} -Uri $apiUrl -Method patch -Body ` $body Microsoft Graph を利用して登録します。Azure AD への事前 設定などは https://azuread.net/archives/11727 にてどうぞ。

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 3. デバイスの属性ではなく、状態に基づいてアクセス制御したい

30 条件を Inutne で判断させることで判断基準を拡張できる ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE マルウェア対策クライアントの バージョンが 4.18.2203.5 以上であれば準拠

31 4月の品質更新までがインストールされているデバイスだけ許可したい 品質更新プログラムはインストールするとビルド番号が変わります。 そのため、Intune コンプライアンスポリシーを使って識別します。 https://support.microsoft.com/en-us/topic/april-12-2022-kb5012599-os-builds-19042- 1645-19043-1645-and-19044-1645-548cc67c-7f12-46fd-878e-589ba81ac2f5

32 4月の品質更新までがインストールされているデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE OS バージョンが 10.0.19044.1645 以上であれば準拠

33 マルウェア感染していないデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 条件 (Condition) 制御 (Control) Intune コンプライアンス ポリシー 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ MDE 状態 リスクレベル 露出レベル Microsoft Defender for Endpoint (MDE)

34 特定の KB がインストールされているデバイスだけ許可したい 特定の Knowledge Base (KB) に対応する HotFix をインストー ルしていることを条件にする場合、HotFix がインストールされている ことを PowerShell で確認し、その結果をもとに判定します https://azuread.net/archives/11757 #KB 番号 $patch = “KB4593175” #デバイスにインストールされている事を確認 $ep = (Get-HotFix).HotFixID | where {$_ -eq $patch} if ($ep -eq $patch){$hash = @{ Patch = $true}} else {$hash = @{ Patch = $false}} return $hash | ConvertTo-Json -Compress インストールされていれば True そうでなければ False を返す

35 特定の KB がインストールされているデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE KB4593175 が インストール されていれば準拠 PowerShell スクリプト

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 4. 不適切なデバイス登録をさせない

37 Intune 登録を制限したい Intune 登録を条件付きアクセスで制御する場合、 主に2つの方法があります

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 5. 登録されていないデバイスを制御したい

39 登録されていない BYOD デバイス デバイス登録なし いずれかの Azure AD デバイス 登録が行われているかで判定 (Windows のみ) ベストプラクティスでは MFA でアクセス可否を決定 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled

40 MFA 以外の方法でのアクセス制御 MDA セッション ポリシーの利用 Microsoft Purview Information Protection によるコンテンツ保護 (条件付きアクセス関係ないけど…) Intune MAM ポリシー (MAM-WE) によるアクセス制御 + 条件付きアクセスによる、そのほかのアクセスの制限 BYOD Bring Your Own Device

41 ここまでのまとめ (登録デバイスの識別) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター Azure AD 参加 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Intune 以外の MDM +Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 登録なし MDA による証明書認証 COBO/COPE では 利用したくない

42 ここまでのまとめ (属性,状態ベースの識別) 登録のチェック 属性のチェック 状態のチェック Intune 登録デバイス CA:準拠済みデバイス CA:デバイスのフィルター CA:デバイスのフィルター IN:コンプライアンス ポリシー IN:コンプライアンスポリシー MDE:リスクレベル ハイブリッド Azure AD 参加 CA:デバイスのフィルター CA:Hybrid Azure AD Join CA:デバイスのフィルター Azure AD 参加 CA:デバイスのフィルター CA:デバイスのフィルター Intune 以外の MDM +Azure AD 登録 CA:デバイスのフィルター CA:デバイスのフィルター Azure AD 登録 CA:デバイスのフィルター CA:デバイスのフィルター 登録なし MDA:証明書の有無 MDA:User-Agent チェック MAM-WE: コンテンツアクセスの制限 MDA:アクティビティチェック CA:条件付きアクセス, IN:Intune の略称です

43 ベストプラクティス構成例(1) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー COBO/COPE/BYOD iOS, Android はどうする?

44 ベストプラクティス構成例(2) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー COBO/COPE BYOD BYOD ブラウザー アクセス アプリアクセス

45 ベストプラクティス構成例(3) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー COBO/COPE BYOD ブラウザー アクセス

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 6. そのほか知っていると役立つこと

47 設定をエクスポート/インポートしたい 検証環境/本番環境で条件付きアクセス設定をスイッチング したいときにエクスポート/インポート設定が役立ちます https://github.com/Micke-K/IntuneManagement

48 設定をエクスポート/インポートしたい ベストプラクティス ポリシーの JSON ファイルはこちらから https://github.com/sophiakunii/CABestPractice

49 サインイン後の面倒な画面を出さないでほしい サインインの状態の選択を 自動的に行うように構成できます

50 まとめ デバイス信頼への道は登録から ポリシーベースのデバイス信頼 ベストプラクティスからはじめよう 登録されていない BYOD デバイス

MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022 https://forms.office.com/r/qCXhcZZUgU スピーカーおよびイベント への感想やご意見 アンケートにご協力ください