条件付きアクセスでは、IPアドレス以外にGPSを利用したネームドロケーションが利用出来ます。
この機能を利用するためには Microsoft Authenticator アプリが必須で、位置情報の利用時にアプリで承認を求められます。
なお、パスワードレスの認証方法では機能しません。
今回は日本以外の位置情報からのアクセスをブロックするポリシーを作成します。
1.ネームドロケーションの設定
1.Microsoft Entra管理センターを開きます。
2.「保護とセキュリティ保護」-「条件付きアクセス」をクリックします。
3.「ネームドロケーション」-「国の場所」をクリックします。
4.下記の通り設定し、「作成」をクリックします。
- 名前:<任意の値>
- GPS座標による場所の特定
- 日本
2.ポリシーの作成
1.「ポリシー」-「新しいポリシー」をクリックします。
2.「名前」、「ユーザー」、「クラウドアプリまたは操作」に任意の値を設定します。
3.「条件」-「場所」をクリックし、下記の通り設定します。
- 構成:はい
- 対象:すべての場所
- 対象外:<作成したネームドロケーション>
4.「許可」に「アクセスのブロック」、「ポリシーの有効化」を「オン」に設定し、「作成」をクリックします。
3.動作確認
Microsoft 365の任意のアプリを起動すると下記の画面が表示されます。
また、スマートフォンのMicrosoft Authenticator アプリに下記の通り通知が届くため承認します。
「続行」をタップします。
既定ではリソースにアクセスしている間は1時間に1回通知されるので、毎回通知が届かないようにするためには下記の通り設定してください。
※下記の設定をしても通知が届く場合があります
「Appの使用中は許可」をタップします。
「”常に許可”に変更」をタップします。
以上でGPSを利用した条件付きアクセスを利用出来ます。
コメント