ある企業がEntra IDの条件付きアクセスポリシーを設計している。「クラウドアプリへのアクセスをゼロトラスト原則に基づいて制御する」要件がある。条件付きアクセスの「アクセス制御」で許可条件として設定できるものを2つ選択してください。
- A. 多要素認証(MFA)を完了していること
- B. アクセス元のIPアドレスが社内ネットワークの範囲内であること
- C. ユーザーのパスワードが過去90日以内に変更されていること
- D. 準拠デバイス(Intune管理下でコンプライアントなデバイス)であること
- E. ユーザーがEntra IDグループの直接メンバーであること
解答と解説を見る
正解: A, D
条件付きアクセスのアクセス制御(付与条件)として設定できる代表的な条件は「準拠デバイスの要求(Require compliant device)」と「多要素認証の要求(Require MFA)」である。これらはゼロトラストの「常に検証する」原則を実装する主要な手段である。選択肢Cのパスワード変更日は条件付きアクセスの付与条件としてはサポートされていない(パスワードリセットの強制はSSPRや認証強度ポリシーで対応する)。選択肢Eのグループメンバーシップは条件付きアクセスの「割り当て(ユーザーとグループ)」条件として使用するが、アクセス制御(付与)の条件ではない。選択肢BのIPアドレス範囲はネームドロケーションとして「割り当て(条件)」に設定するものであり、アクセス制御(付与)の条件ではない。