1. 全体概要と結論
Microsoft 365 Education A3ライセンス環境における条件付きアクセス設定に関する課題を調査した。具体的には、「Microsoft Teams」「SharePoint Online」「Exchange Online」へのアクセスを特定のグローバルIPアドレスに限定しつつ、「Microsoft 365 Apps」のライセンス認証を例外的に許可する方法についてである。
調査結果として、条件付きアクセスの設定が「Office 365」をターゲットに含む場合は「Microsoft 365 Apps」の利用が制限される一方、特定のサービスに個別で条件付きアクセスを設定することで「Microsoft 365 Apps」の認証が可能であることが判明した。
関連サービス
- Azure AD条件付きアクセス
- Microsoft Teams
- SharePoint Online
- Exchange Online
- Microsoft 365 Apps
主要な課題
- 条件付きアクセスの設定による「Microsoft 365 Apps」のライセンス認証制限
- 特定のサービスへのアクセス制御と「Microsoft 365 Apps」の認証例外設定の両立
結論
条件付きアクセスを「Office 365」に設定すると「Microsoft 365 Apps」の利用が制限される。しかし、特定のサービスに個別で条件付きアクセスを設定することで「Microsoft 365 Apps」の認証は影響を受けず利用可能である。設定を適切に行うことで、課題を解決できる。
2. 調査内容
2.1. 調査したこと1:条件付きアクセスとMicrosoft 365 Appsの認証例外設定
調査の目的
Microsoft 365 Education A3ライセンス環境で、条件付きアクセスを設定し、「Microsoft Teams」「SharePoint Online」「Exchange Online」へのアクセスを特定のグローバルIPアドレスに限定したい。また、条件付きアクセスが有効な状態でも「Microsoft 365 Apps」のライセンス認証を例外的に許可する設定が可能かどうかを確認することを目的とした。
発生している疑問・懸念
- 条件付きアクセスを「Office 365」に設定すると「Microsoft 365 Apps」の利用が制限される可能性がある。
関連環境
- Microsoft 365 Education A3ライセンス
- Azure AD条件付きアクセス
調査結果
条件付きアクセスを「Office 365」に設定すると「Microsoft 365 Apps」が利用できなくなる仕様である。一方で、「Microsoft Teams」「SharePoint Online」「Exchange Online」に個別で条件付きアクセスを設定し、「Office 365」をターゲットリソースとして選択しない場合、「Microsoft 365 Apps」の認証は影響を受けず利用可能である。
【技術解説】
条件付きアクセスの設定は、ターゲットリソースとして選択されたクラウドアプリケーションに対して適用される。「Office 365」をターゲットリソースに含めると、「Microsoft 365 Apps」の認証も制限対象となるため利用が制限される。一方で、特定のサービス(例: Microsoft Teams、SharePoint Online、Exchange Online)に個別で条件付きアクセスを設定する場合、それらのサービスのみが制御対象となり、「Microsoft 365 Apps」の認証は影響を受けない。
推奨される対応策
- 条件付きアクセスを設定する際、ターゲットリソースとして「Office 365」を選択しない。
- 「Microsoft Teams」「SharePoint Online」「Exchange Online」に個別で条件付きアクセスを設定する。
コメント