Entra 認証コンテキストを使用すると、特定の秘密度ラベルを適用したサイトにのみ特定の条件付きアクセスポリシーを適用できるようになります。これにより特定のサイトに対して厳しい認証条件を適用することなどが可能になります。
ちなみに秘密度ラベルを使わずに直接ポリシーをサイトに適用することも可能ですが PowerShellコマンド (Set-SPOSite)を利用する必要があります。
※ただし、SharePointのルートサイトにはこのポリシーは適用できないので注意してください。
ライセンス
SharePoint サイトで認証コンテキストを利用するには、次のいずれかのライセンスが必要です。
- Microsoft Syntex - SharePoint Advanced Management
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5 コンプライアンス
- Microsoft 365 E5 Information Protection and Governance
- Office 365 E5/A5/G5
設定手順の概要
- Entra ID 管理センターで認証コンテキストを追加し、条件付きアクセスポリシーを構成する。
- Microsoft Purview コンプライアンス ポータルで秘密度ラベルを用意し、認証コンテキストを使用して制限を適用する。
Entra 認証コンテキストの準備
Entra 認証コンテキストは次の手順で設定できます。
まず、Entra 管理センターにアクセスします。「保護」>「条件付きアクセス」の順にアクセスし、「認証コンテキスト」をクリックします。ここで「新しい認証コンテキスト」をクリックます。認証コンテキストの追加画面で、名前と説明を指定して作成します。認証コンテキストは要件ごとに複数作成できます。
条件付きアクセス ポリシーの構成
次に条件付きアクセスポリシーを作成します。名前を指定して対象となるユーザーなどを指定します。「ターゲットリソース」の設定でポリシーの適用対象として 認証コンテキスト を選び、作成した認証コンテキストを選択します。
秘密度ラベルの作成
Microsoft Purview コンプライアンス ポータルにアクセスし、秘密度ラベルを作成します。ラベルの範囲の定義で「グループ&サイト」を選択します。
「グループとサイトの保護設定を定義」で “外部共有および条件付きアクセス” を選択します。
「外部共有および条件付きアクセスの設定の定義」で "Microsoft Entra 条件付きアクセスを使用してラベル付き SharePoint サイトを保護する」を選択し、使用する認証コンテキストを選択します。
このように秘密度ラベルを作成したあとは、適切なラベルポリシーを作成してユーザーに発行しておきます。
SharePoint サイトへの適用
作成した秘密度ラベルをテナント管理者、サイトの管理者またはサイトの所有者が特定の SharePoint サイトに適用します。
サイトへのアクセスを実験してみましょう。結果は次の通りです。
制限事項などの詳細
この設定には制限事項が比較的たくさんあります。実際に利用するときおよび最新情報の確認は下記の Microsoft Learn の記事を参照してください。
SharePoint サイトと OneDrive の条件付きアクセス ポリシー - SharePoint in Microsoft 365 | Microsoft Learn