アプリへの適応型アクセス

MaaS360® は、「アクセスをブロック」と「多要素認証（MFA）を要求」の隔離アクションを通じて、アプリのアダプティブアクセスをサポートしています。

適応型アクセス制限は、ユーザーが利用できるようになったSSO対応アプリに適用される。これらの制限により、信頼できるユーザーとデバイスだけが組織内のシングルサインオン（SSO）アプリにアクセスできるようになります。

MaaS360は、SSOアプリに対して以下の適応的なアクセス制限をサポートしている。

アクセスをブロックする：そのユーザーが所有するすべてのデバイスからSSO対応アプリへのアクセスをブロックします。このオプションを使用すると、SSO対応アプリに厳格なアクセス制限をかけることができます。
多要素認証（MFA）を要求する：SSO対応アプリにアクセスする前に、ユーザーがMFAチャレンジを完了することを要求します。 MFAチャレンジには通常、携帯電話に送信されるコードの入力、指紋や顔認証の使用、ハードウェアトークンの使用など、追加の認証要素が含まれる。ユーザは MFA チャレンジに成功すると、SSO 対応アプリにアクセスできるようになる。しかし、MFAチャレンジが失敗した場合、ユーザーはアプリへのアクセスを拒否される。

前提条件

検疫アクションを適用する前に、以下の要件が満たされていることを確認してください。

MaaS360はMicrosoft Entra IDと統合されている。詳細については、 Microsoft Entra と MaaS360 との統合における条件付きアクセスの設定を参照してください。
ユーザーグループは、Entra IDテナントからMaaS360ポータルにインポートされます。
ブロックおよびグラント（MFA が必要）条件付きアクセスポリシーは、Entra ID ポータルで作成します。詳細については、Entra IDの条件付きアクセスポリシーの設定を参照してください。

MaaS360隔離アクションのワークフロー

管理者は、リスクのあるユーザーまたはデバイスを特定し、セキュリティダッシュボードから [隔離] アクションを適用します。

MaaS360は、Entra IDの条件付きアクセスポリシーを使用して、エンドユーザーデバイス上のSSO対応アプリのアクセス制限を実施します。
管理者によって発行された隔離アクションに応じて、ユーザーはSSO対応アプリへのアクセスをブロックされるか、アプリにアクセスする前に多要素認証（MFA）チャレンジを受ける必要があります。
管理者は、隔離されたユーザーのリスク状況を確認します。影響を受けたユーザーが安全な状態に復元された場合、管理者は「隔離を取り消す」アクションを発行して、ユーザーのSSO対応アプリへの通常のアクセスを保持します。

Entra IDで条件付きアクセスポリシーを設定する

Entra ID で、アクセス許可とブロックのための個別の条件付きアクセスポリシーを設定します。検疫アクションを適用すると、MaaS360は対応するEntra ID条件付きアクセスポリシーを使用して、シングルサインオンアプリのアクセス制限を実施します。

アクセスのブロック

Entra ID でブロックアクセスの条件付きアクセスポリシーを設定するには、以下の手順を実行します。

条件付きアクセス管理者、セキュリティ管理者、またはグローバル管理者としてMicrosoft Entra ポータルにサインインします。
Microsoft Entra ID ] > [Security ] > [ Conditional Access] に進みます。
新しいポリシー]をクリックします。
ポリシーに名前をつける。例えば、 MaaS360で隔離されたユーザーへのアクセスをブロックする。
ユーザー]で、ユーザーまたはグループを選択します。このポリシーで指定された条件とアクセス制御は、選択されたユーザーまたはグループに対して実施されます。これらの制限は、ポリシーに含まれていない他のユーザーには影響しない。
クラウドアプリまたはアクション]で、Entra IDを使用してSSOに設定されているアプリを選択します。このポリシーで指定された条件とアクセス制御は、選択したSSO対応アプリに対して実施されます。
注意:
この設定は、重要なサービスへの合法的なアクセスを不注意に妨害する可能性があるため、「すべてのクラウドアプリ」を選択すべきではありません。
条件」で以下の設定を行う。
- デバイスプラットフォーム：任意のデバイス] を選択すると、実行中のプラットフォームに関係なくすべてのデバイスにこのポリシーが適用されます。
- デバイスをフィルタリングする：設定]を[はい]に設定します。フィルタリングされたデバイスをポリシーに含める]を選択し、次の表に示すように条件を指定します。
  表 1. フィルタリングされたデバイスをポリシーに含める基準
  
  プロパティーオペレーター値
  
  ExtensionAttribute1 Equals BLOCK
アクセス制御]で[アクセスをブロック]を選択します。
注：このステップは任意である。
セッション」で「サインイン頻度」>「定期的な再認証」を選択し、「1 Hours選択する。この設定が構成されている場合、ユーザーのサインインは評価され、ポリシーは1時間以内にデバイスに適用されます。そうでない場合は、アプリ・レベルで設定されたサインイン頻度が使用される。

表 1. フィルタリングされたデバイスをポリシーに含める基準
プロパティー	オペレーター	値
`ExtensionAttribute1`	`Equals`	`BLOCK`

多要素認証を要求する

多要素認証（MFA）を設定するには、以下の手順を実行します。

条件付きアクセス管理者、セキュリティ管理者、またはグローバル管理者としてMicrosoft Entra Portalにサインインします。
Microsoft Entra ID ] > [Security ] > [ Conditional Access] に進みます。
新しいポリシー]をクリックします。
ポリシーに名前をつける。例えば、 MaaS360で隔離されたデバイスにMFAを要求する。
ユーザー]で、ユーザーまたはグループを選択します。このポリシーで指定された条件とアクセス制御は、選択されたユーザーまたはグループに対して実施されます。これらの制限は、ポリシーに含まれていない他のユーザーには影響しない。
クラウドアプリまたはアクション]で、Entra IDを使用してSSOに設定されているアプリを選択します。このポリシーで指定された条件とアクセス制御は、選択したSSO対応アプリに対して実施されます。
注意:
この設定は、重要なサービスへの合法的なアクセスを不注意に妨害する可能性があるため、「すべてのクラウドアプリ」を選択すべきではありません。
条件」で以下の設定を行う。
- デバイスプラットフォーム：任意のデバイス] を選択すると、実行中のプラットフォームに関係なくすべてのデバイスにこのポリシーが適用されます。
- デバイスをフィルタリングする：設定]を[はい]に設定します。フィルタリングされたデバイスをポリシーに含める]を選択し、次の表に示すように条件を指定します。
  表 2. ポリシーでMFAを設定する基準
  
  プロパティーオペレーター値
  
  ExtensionAttribute1 Equals MFA
アクセス制御]で[アクセスを許可]をクリックし、[多要素認証を必要とする]を選択します。
注：このステップは任意である。
セッション]で、[サインイン頻度 ] > [ 定期的な再認証]を選択し、[1時間]を選択します。この設定が構成されている場合、ユーザーのサインインは評価され、ポリシーは1時間以内にデバイスに適用されます。そうでない場合は、アプリ・レベルで設定されたサインイン頻度が使用される。