1. 問題概要
条件付きアクセスポリシーにおいて、特定の場所(グローバルIP)からのみ Microsoft 365 へのアクセスを許可する設定を試みたが、アクセスがブロックされる問題が発生。
原因として、Entra ID がサインイン時に IPv6 アドレスを識別しているため、IPv4 のみを設定したネームドロケーション(信頼できる場所)の定義に合致せず、ポリシーが正しく適用されていなかった。
2. 結論
問題解決のためには、サインインログに実際に記録されている IPv6 アドレス(またはその範囲)をネームドロケーションに追加登録する必要がある。これにより、条件付きアクセスポリシーの「対象外」設定が正しく機能し、アクセスが許可される。
3. 調査した内容
- 特定のグローバルIP(IPv4)をネームドロケーションに登録した。
- 条件付きアクセスポリシーで、そのネームドロケーションを「対象外」に設定した。
- それにもかかわらず、該当の拠点から Microsoft 365 へのアクセスがブロックされてしまう。
4. 結果
- 識別されるIPアドレス: Entra ID がサインイン時に評価する IP アドレスは、サインインログに記載されているものがすべて。
- 原因の推測: サインインログに IPv6 アドレスが記録されている場合、それがネームドロケーションに登録されていないことがブロックの直接的な原因。
- IPv6 のサポート: 条件付きアクセスおよびネームドロケーションは IPv4 と IPv6 の両方をサポートしている。
- 解決策: サインインログを確認し、記録されている IPv6 アドレスをネームドロケーションに追加することで、問題が解決する可能性が高い。具体的な設定手順については公式ドキュメントを参照のこと。
5. 参考URL
- 条件付きアクセス: ネットワーク割り当て (IPv4 および IPv6 アドレス範囲)
https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-assignment-network#ipv4-and-ipv6-address-ranges
コメント