条件付きアクセス - 概要
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
コンディショナルアクセスを利用すると、ユーザーが自身のアカウントへアクセスする方法やタイミングを制御するポリシーを設定できます。例えば、特定の曜日のみ、特定の場所やデバイスからのみ、ユーザーがZohoアカウントにサインインできるよう条件を設定することが可能です。
条件
規定がユーザーに適用されると、現在のサインイン試行時に条件がチェックされます。条件が一致した場合、該当する操作が実行されます。現在、以下の条件に対応しています:
- 曜日
- 時間帯
- プラットフォーム:この条件では、ユーザーがサインインするデバイスのOSをチェックします。対応している設定はWindows、Mac、Linux、Android、iPhone、iPadです。
- 適用済みルーティング規定:この条件では、ユーザーが指定されたルーティングポリシーの担当者かどうかを確認します。ルーティングポリシーについて詳しくはこちら
- デバイス管理ステータス:Device Management機能を基にした条件です。この条件では、デバイスがMDM経由で管理されているかどうか、およびデバイスセキュリティスコアがどの程度であるべきかを確認します。デバイス管理について詳しくはこちら
- IPアドレス:この条件では、ユーザーが承認済みIPからサインインしようとしているかどうかをチェックします。IPの追加方法は3つあります:
- 現在のIP:規定設定時にZoho DirectoryへアクセスしているIPが自動検出・自動入力されます。
- 静的IP:特定のIPアドレスを手動で入力できます。
- IPレンジ:範囲指定でIPアドレスを手動入力できます。
- 国:この条件では、ユーザーがサインインを試みている地理的な場所を確認します。
操作
操作は、ポリシーがユーザーに適用され、その条件に一致した際にサインイン試行をどのように処理するかを決定します。操作は、次の3つから選択できます:
- 許可:ユーザーのサインイン試行が「許可」操作のポリシーに一致した場合、サインインが許可されます。
- MFAで許可:ユーザーのサインイン試行が「MFAで許可」操作のポリシーに一致した場合、サインイン前にMFA認証を求められます。
- 拒否:ユーザーのサインイン試行が「拒否」操作のポリシーに一致した場合、サインインは許可されません。
許可操作のポリシーが最初にチェックされ、次にMFAで許可、最後に拒否が確認されます。いずれのポリシーにも一致しない場合は、初期設定の操作が適用されます。
MFA要素
MFAで許可操作が選択された場合、その規定に一致した際に使用するMFA要素を設定する必要があります。対応している要素は以下の通りです:
これらの要素は各規定ごとに個別に設定されるため、MFAポリシーにおいては優先度の順番が重要です。規定の優先度について詳しくはこちら
初期設定操作
コンディショナルアクセスが設定されていて、ユーザーのサインイン試行がいずれのポリシーにも一致しない場合、またはすべての一致するポリシーで失敗した場合、初期設定操作が実行されます。設定内容は他の規定と同様に「許可」「MFAで許可」「拒否」から選択します。
コンディショナルアクセスの設定を計画する際は、2つのアプローチのいずれかに絞ることを推奨します:
- 初期設定で許可:この方法では、初期設定の操作を許可またはMFAで許可に設定します。その後、他のポリシーすべてに拒否操作を設定します。つまり、サインインのたびにZoho Directoryは拒否条件を確認し、アクセスを拒否する理由があるかどうかをチェックします。理由がなければ、ユーザーはサインインできます。
例として、以下のような条件のポリシーがあります: - サインイン試行が選択済みの国からでない場合は拒否
- サインイン試行が日曜日の場合は拒否
- サインイン試行が選択済みのIPアドレスからでない場合は拒否
- 初期設定で拒否:この方法では、初期設定の操作を拒否に設定します。その後、他のポリシーすべてに許可またはMFAで許可操作を設定します。サインインのたびに、Zoho Directoryはサインイン試行が許可条件のいずれかに一致するかどうかを確認します。一致しない場合、ユーザーはサインインできません。例として、以下のような条件のポリシーが含まれます:
- サインイン試行が9時から18時の間であれば許可
- サインイン試行が管理されたデバイスからであればMFAで許可
- サインイン試行がMacノートパソコンからであれば許可