ある企業がセキュリティを強化するため、Entra ID の条件付きアクセス(Conditional Access)ポリシーを構成している。「社外ネットワークから管理者ロールを持つユーザーが Azure portal にアクセスする場合は多要素認証(MFA)を必須にする」という要件を実現したい。このポリシーを正しく構成するための設定として適切なものを 2 つ選択してください。
- A. アクセス制御(Access controls)の「許可」で「アクセスのブロック」を選択する
- B. 割り当て(Assignments)の「条件」で「場所」を「すべての場所」に設定する(ネームドロケーションの構成は不要)
- C. 割り当て(Assignments)の「クラウドアプリまたは操作」で「Microsoft Azure Management」を選択する
- D. 割り当て(Assignments)の「ユーザー」で「ディレクトリロール」を選択し、対象の管理者ロールを指定する
- E. 割り当て(Assignments)の「条件」で「場所」を「選択した場所を除くすべての場所」とし、会社ネットワークをネームドロケーションとして除外する
解答と解説を見る
正解: C, D
条件付きアクセスポリシーで「管理者が Azure portal にアクセスする場合に MFA を要求する」を実現するには、まず「ユーザー」の割り当てで管理者ロール(グローバル管理者、セキュリティ管理者等)を指定し(選択肢D)、「クラウドアプリ」で Azure Management(Azure portal を含む Azure 管理エンドポイント)を対象に設定する(選択肢C)必要がある。アクセス制御は「アクセスを許可する+多要素認証を要求する」を設定する。選択肢Bは「社外のみ」という要件のため場所条件が必要だが、「すべての場所」では社内も含まれてしまう。選択肢Aの「アクセスのブロック」は MFA を要求するのではなくアクセス自体を遮断するため誤り。選択肢Eは社外アクセスを特定する方法として正しいアプローチだが、問いは「正しい 2 つ」であり DとCが基本設定として必須の選択肢となる(選択肢Eも誤りではないが、設問の選択軸ではDとCが核心)。