2016年8月15日月曜日

[Azure AD]登録済みデバイスからのみアクセスを許可する

こんにちは、富士榮です。

最近Pokemon Goの話題ばかりだったので、Azure Active Directory(Azure AD)の話題を。

以前、IdM実験室別館(Channel 9)やセミナで紹介したことがありますが、組織内のネットワーク以外からのアクセスを拒否したり多要素認証を要求したりする「条件付きアクセス(Conditional Access)」の新機能の「デバイスベースの条件付きアクセス」のパブリック・プレビューが公開されました。

 公式Blogでのアナウンス
 #AzureAD Conditional Access Policies for iOS, Android and Windows are in Preview!
 https://blogs.technet.microsoft.com/enterprisemobility/2016/08/10/azuread-conditional-access-policies-for-ios-android-and-windows-are-in-preview/


具体的に何ができるのか、というと

  • ドメインに参加しているデバイスからのみアクセスを許可する
  • MDM(Intune)で管理されているデバイスからのみアクセスを許可する
ということです。
※ドメイン参加は以下の条件
 ・オンプレミスのADに参加しており、デバイス同期がAzure ADに対して実行されている
 ・Azure AD自体に参加している
 ・Workplace Joinしている
※対応しているデバイスは、Windows PC、Windows Mobile、iOS、Android

 やはりネットワーク・ベースのアクセス制御だと業態によっては適用が難しかったり、信頼済みネットワークのメンテナンスが面倒だったりするので、デバイス自体を見てアクセスを制御する機能の必要性が挙がっており、ようやくの対応となりました。まだまだパブリック・プレビューですがニーズは多いはずなので早く正式リリースしてもらいたいですね。


と、いうことで早速試してみます。

◆設定はアプリケーション単位

ネットワークベースの条件付きアクセス制御と同様にアプリケーション単位で設定を行います。
(Azure AD Premiumのライセンスが必要です)

[設定]メニューを開くと「デバイスベースのアクセス制御」が表示されているので「アクセス規則を有効にする」をONにします。

すると、適用対象とデバイスルールの2つのメニューが表示されます。
適用対象は、対象とするユーザを選択します。例えばルール適用対象から除外したいユーザがいる場合は、ユーザやグループの単位で除外することが出来ます。
また、デバイスルールは、対象とするデバイスの種類、およびWindowsデバイスの場合のルール準拠の条件(ドメイン参加やIntune登録など)を設定することが出来ます。

以下が設定画面です。



今回は、全てのユーザが、すべてのデバイスにおいてルールに準拠している必要があるように設定してみました。

では、早速アクセスしてみます。

◆Windows PCからのアクセス。IEとEdge以外は対応していない!

まずはPCでアクセスしてみます。

まずはルールに準拠していないPCからのアクセスです。

ログインをすると、アクセスが拒否されました。

しかし、FirefoxやChromeでアクセスした時とInternet ExploreやEdgeでアクセスした時で出てくるメッセージが異なります。
どうやらInternet ExploreとEdgeしか対応していないようです。

Firefoxでのアクセス。The current browser is not supportedと言われてしまう。

Edgeでのアクセス。The application contains sensitive information and can only be accessed from the devices that are compliant with eIdentity access policyと言われ、デバイスベースでのアクセス制御が有効に働いていることがわかる。



次に、ポリシーに準拠しているPCからアクセスしてみます。今回はAzure ADに直接参加しているWindows 10のPCからアクセスしてみます。

Firefoxからのアクセスだとやはりブラウザが対応していない、と言われます。


Edgeでアクセスすると問題なくアクセスできるので正常にデバイスベースのアクセス制御が働いていることがわかります。


◆モバイル(iOS)でアクセスする。同じくブラウザを選ぶ!

同じくiOSでアクセスします。このデバイスはIntuneに登録済みなので、ポリシーに準拠している状態です。

まずはiOS版のChromeです。
やはりブラウザを選ぶようで、アクセスできません。

Safariでアクセスするとクライアント証明書認証が走ります。


証明書をタップするとうまくアクセスできました。


◆まとめ

デバイスの状態をちゃんとみてアクセス制御が働いていることがわかります。これでネットワーク制御に加えて、さらに柔軟に制御をすることもできるようになりそうです。

しかし、デバイス状態をAzure ADが判断するためには仕方ないことかもしれませんが、ブラウザを選んでしまうのが難点といえば難点です。
せめてChromeやForefoxなど他のブラウザ用にプラグインなどを用意して対応していってもらいたいものです。。。

0 件のコメント: