Microsoft Entra ID の Conditional Access (条件付きアクセス) は、現代的なエンタープライズ ID 管理の中核技術です。 ユーザー・グループ・アプリ・サインインリスク・デバイス状態・場所などの条件を評価し、動的にアクセス制御を行う仕組みで、ゼロトラスト戦略の Identities 柱の中心。 本記事では、Conditional Access の基本動作・推奨ベースラインポリシー・実装テンプレート・運用ベストプラクティス・落とし穴を網羅的に整理します。
Conditional Access ポリシーは 『Conditions (条件) → Controls (制御)』 の構造で定義します。
Conditional Access を有効にするには以下が必要です。
Microsoft が公開する Conditional Access のベースライン (推奨スタートセット) は以下の通り。新規 Conditional Access 運用は、これらを Report-only で順次導入するのが定石です。
Report-only モードは、Conditional Access ポリシーを実際に強制せず、適用結果のみログに記録するテストモードです。
Conditional Access 運用の最重要前提条件が Break Glass Account の例外設定です。
Break Glass Account を設定し忘れると、Conditional Access の誤動作時に組織の全管理者がログイン不可になる致命的な事故が発生します。
Named Locations は、IP アドレス範囲 (CIDR) または国を Named Location として定義し、Conditional Access の Conditions で参照する機能。
| パターン | 用途 | 例 |
|---|---|---|
| Office Trusted IP | オフィスからは MFA 不要 | 本社・支店の Public IP を Trusted Location 化 |
| Risky Country | 特定国からをブロック | 中国・ロシア・北朝鮮・イラン |
| Allowed Country | 許可国のみアクセス可 | 日本・US・UK・ドイツ・シンガポール |
| VPN Endpoint | 会社 VPN 経由のみ許可 | VPN サーバーの送信元 Public IP |
| Co-management | パートナー企業の IP | 業務委託会社の固定 IP |
Session Controls は、認証後のセッション動作を制御します。
Conditional Access とは何ですか?
Conditional Access (条件付きアクセス) は、Microsoft Entra ID Premium P1/P2 で提供される動的なアクセス制御エンジン。ユーザー・グループ・アプリ・サインインリスク・デバイス状態・場所などの条件 (Conditions) を評価し、Grant Controls (許可/MFA 要求/デバイス準拠性要求/承認済みアプリ要求) または Session Controls (Sign-in Frequency / Persistent Browser Session / App Enforced Restrictions) を適用する仕組み。ゼロトラスト戦略の中核技術で、Identities 柱の中心。Microsoft 365・Azure・サードパーティ SaaS アプリへのアクセスを統一的に制御可能で、現代的なエンタープライズ ID 管理には事実上必須の機能です。
Conditional Access を有効にするには何が必要ですか?
Microsoft Entra ID Premium P1 (Microsoft 365 E3 / Microsoft 365 Business Premium / Entra ID P1 単体) ライセンスが必要です。Premium P2 (Microsoft 365 E5 / Entra ID P2 単体) では、追加で『リスクベース Conditional Access (Identity Protection 連携)』『PIM 連携 (特権ロールアクティブ化時の Conditional Access)』が利用可能。すべての対象ユーザーに対してライセンス割り当てが必要 (Conditional Access の対象になるユーザー数分のライセンス購入)。Security Defaults (セキュリティ既定値) と Conditional Access は併用不可で、Conditional Access を有効化すると Security Defaults は自動 Disable されます。
推奨ベースラインポリシーは?
Microsoft が公開する Conditional Access のベースライン (推奨スタートセット) は以下の通り: 1) 管理者ロールに MFA 要求 (Global Admin・Privileged Role Admin など 14 ロール対象)、2) すべてのユーザーに MFA 要求 (全社展開)、3) 既知のリスクサインインをブロック (Identity Protection 連携、High Risk)、4) レガシー認証 (POP/IMAP/SMTP) をブロック、5) 管理ポータルアクセスに MFA 要求 (azure-portal・admin-portal)、6) Microsoft 365 アプリへの非準拠デバイスアクセスをブロック、7) 国別アクセス制限 (例: 中国/ロシアからのアクセスをブロックする Named Locations 活用)。Microsoft Learn の Zero Trust Identity Reference Architecture が詳細です。
Report-only モードはなぜ重要ですか?
Report-only モードは、Conditional Access ポリシーを実際に強制せず、適用結果のみログに記録するテストモード。新規ポリシー展開時に必ず Report-only で 1-2 週間運用し、想定外の Block が発生していないか Sign-in Logs で確認するのが定石。誤ったポリシー (例: 全ユーザーに iOS デバイス要求) を本番強制すると、Windows ユーザー全員がログイン不可になる事故が起きるため、Report-only での事前検証は事故防止の生命線。Microsoft も Conditional Access のすべての新規ポリシーで Report-only から始めることを推奨しています。Sign-in Logs の Report-only 結果欄で『Failure - Reported only』のステータスを確認できます。
Named Locations はどう使いますか?
Named Locations は、IP アドレス範囲 (CIDR) または国を Named Location として定義し、Conditional Access の Conditions で参照する機能。代表的な使い方: 1) オフィス IP からのアクセスは MFA 不要 (Trusted Locations)、それ以外は MFA 要求、2) 中国・ロシア・北朝鮮などからのアクセスをブロック、3) 特定国 (日本・US) のみアクセス許可 (出張・リモートワーク許容のホワイトリスト)、4) Country-by-IP の動的判定 (Microsoft の IP 地理データベース活用)。注意点として VPN・プロキシ経由のアクセスは送信元 IP が異なるため、適切な VPN サーバー IP も Named Locations に登録する必要があります。
Sign-in Frequency は何を制御しますか?
Sign-in Frequency は、ユーザーが認証を再要求されるまでの時間を制御する Session Controls。デフォルト動作は『1 時間ごとに refresh token 検証 + 90 日間 sliding window で persistent sign-in』。Sign-in Frequency を設定すると、指定時間 (例: 8 時間) ごとに完全再認証 (MFA 含む) を要求可能。高セキュリティ環境では『機密データアクセス時 → 1 時間ごとに再認証』『管理者ポータル → 4 時間ごと』『一般ユーザー → 8 時間 (1 営業日)』のように細かく制御。Persistent Browser Session を Never に設定すれば、ブラウザ閉じるたびに再ログイン必要となり、Shared Computer 環境のセキュリティ強化に有効です。
Conditional Access の落とし穴は?
代表的な落とし穴: 1) Break Glass Account (緊急アクセス用アカウント) を Conditional Access から除外し忘れて、ポリシー誤動作時に全管理者がログイン不可に (必ず 2 つの Break Glass Account を作り Conditional Access の例外設定)、2) Report-only を経ずに本番強制してユーザーロックアウト発生、3) Named Locations を Trusted (信頼済み) に分類してしまい、リスクポリシーが効かない、4) Service Principal / Managed Identity への Conditional Access 設定漏れ (近年は Workload Identity に対する CA も Preview/GA で対応)、5) サードパーティアプリ (Slack・Salesforce 等) でレガシー認証パターンが残り、Conditional Access が効かない、6) Mobile アプリの MFA Bypass パターン (App Password) を放置。Break Glass Account の例外設定は最重要で、組織のすべての Conditional Access 運用の前提条件です。
関連認定試験は?
SC-300 (Identity and Access Administrator Associate) で Conditional Access が深く問われ、ポリシー設計・トラブルシューティング・実装パターンが頻出。MS-102 (Microsoft 365 Administrator Expert) のドメイン 2 (Identity and Access)、SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の中核として、SC-200 (Security Operations Analyst) で Sentinel との連携・Identity Protection との統合。Microsoft セキュリティ系認定全般で必須の知識領域です。詳細は Azure セキュリティエンジニア キャリアロードマップ を参照してください。
関連記事・技術深掘り
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
Microsoft Entra MFA 詳細ガイド|認証方式選定・Conditional Access・Number Matching・Phishing-resistant MFA【2026 年版】
Microsoft Entra Multi-Factor Authentication (MFA) の詳細ガイド。10 種類の認証方式選定・Conditional Access での MFA 強制・Per-user MFA vs Conditional Access MFA・Security Defaults・MFA Fatigue 攻撃対策・Phishing-resistant MFA・関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。
Microsoft Entra ID Governance 完全ガイド|Entitlement Management・Access Review・Lifecycle Workflows【2026 年版】
Microsoft Entra ID Governance の完全ガイド。Entitlement Management (Access Package)・Access Review・PIM・Lifecycle Workflows・Terms of Use・B2B/B2C を網羅解説。SOC2 / ISO 27001 コンプライアンス対応、JML プロセス自動化、関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。
Microsoft Entra B2B / External ID 完全ガイド|パートナー招待・顧客認証・Cross-tenant Settings【2026 年版】
Microsoft Entra B2B Collaboration (パートナー組織招待) と External ID for customers (顧客認証) の完全ガイド。ゲスト招待フロー・Cross-tenant Access Settings・External Tenant 構成・Entitlement Management 自動化・Conditional Access 統合・関連認定試験 (SC-300 / MS-102 / SC-100) を日本語で網羅。
本記事の技術情報は Microsoft Entra Conditional Access Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...