ある企業が条件付きアクセスポリシーを設定している。「全社員が社内基幹アプリにアクセスする際、準拠デバイス(Compliant device)が必要」というポリシーを適用した後、管理者を含む全ユーザーがアクセスできなくなった。この問題を防ぐために事前に行うべきだった対策として最も適切なものはどれか。
- A. グローバル管理者アカウントを条件付きアクセスポリシーの適用対象から常に除外する
- B. 条件付きアクセスポリシーの「有効」を「レポートのみ」モードで十分な期間テストしてから有効化する
- C. ポリシー適用前にすべてのデバイスをIntuneに登録して準拠状態にしておく
- D. 「緊急アクセスアカウント(Break Glass Account)」を条件付きアクセスポリシーの除外対象として設定しておく
解答と解説を見る
正解: D
緊急アクセスアカウント(Break Glass Account)は通常の認証フローが機能しない緊急時に使用する特別なアカウントで、すべての条件付きアクセスポリシーから除外しておく必要がある。ロックアウト発生時にこのアカウントで管理操作を行いポリシーを修正できる。選択肢Cはデバイス登録を促す良い対策だが、すべてのデバイスを事前に登録済みにすることは現実的に困難であり、これだけではロックアウトを完全に防げない。選択肢Bの「レポートのみ」モードでのテストはロックアウトを防ぐ重要な手順だが、テスト期間中に影響を把握するものであり、「事前に行うべき対策」として緊急アクセスアカウントの設定の方がより根本的な安全策である。選択肢Aのグローバル管理者の常時除外はセキュリティリスクが高く、最小権限の原則に反するためベストプラクティスではない。