【비망록】 Azure AD 게스트 사용자에 대한 액세스 소스 제한 구성

Azure AD 게스트 사용자 초대에 유용합니다. SharePoint와 Teams에서 게스트 사용자를 초대하는 경우는 역시 편리합니다. 앞으로가 Office365를 사용하고 있는 경우라면 액세스 제한 걸거나 계정 관리를 확실히 하고 있을 것이므로, 어느 정도 신뢰해 초대할 수 있다.

다만, 역시 선방이 Office365 사용하지 않고 마이크로소프트 어카운트로 초대하고 있는 케이스에서는, 원래 액세스 제한 걸려 있지 않다. Office365 사용하고 있다고 해도 액세스 제한 걸리지 않았을까··라고 하는 케이스가 있거나 한다. 앞으로 강화해라, 라고도 말할 수 없고, 자사에서 지킬 수밖에 없다.

그럼, 어떻게 제어하는 ​​것이라고 하는 것으로 조건부 액세스. 게스트 사용자에게도 적용할 수 있으므로 IP 주소로 액세스 소스를 제어한다는 시나리오에서 정리해 본다.

흐름은 이런 느낌

· 라이센스
· 네임드 로케이션 등록
· 조건부 액세스 구성

라이센스



구성하려면 라이센스가 필요합니다. 그렇다고 해도 게스트 사용자를 위해 새로 조달할 필요는 없으며 Azure AD P1 라이센스가 사내 사용자용으로 있으면 된다. Azure AD BtoB에서 게스트 사용자가 로그인 기록이 남지 않는 경우 그래도, 테넌트 내에 보유하고 있는 Azure AD P1 혹은 P2의 수의, 5배까지의 게스트에도 적용할 수 있다. 라이선스가 200이면 게스트 사용자 1000까지 가능.

Intune 사용한다면 EMS E3를 가지고 있을 것이고, M365E3 가지고 있는 조직이라면 포함하고 있다.

네임드 로케이션 등록



나중에 사용하는 조건부 액세스에서는, IP 주소는 미리 「네임드 로케이션」에 등록해 둘 필요가 있다.
Azure Active Directory → 조건부 액세스 → 네임드 위치에서 등록한다.


「신뢰할 수 있는 장소로서 마크한다」는 오프로 한다(자사가 아니기 때문에)


조건부 액세스 구성



「방금 등록한 IP 이외는 차단한다」로 액세스원을 제한한다.

조건부 액세스로 새 정책을 만들고 대상 게스트 사용자를 할당합니다.

정책의 「조건」→「장소」에서 대상외로 방금 작성한 장소를 설정한다.



「허가」로 블록 설정


앱에 대상 앱을 설정하고 종료.

보충



설정한 앱만 이 조건부 액세스가 적용된다.

주의해야 하는 것은 앱 A는 사용하고 싶지만, 앱 B는 안 된다고 하는 경우에는 앱 A용의 규칙은 작성하면서, 앱 A 이외의 규칙으로 「전부 블록」해 둘 필요 있다. 네임드 로케이션에서는 IP는 필수 입력이므로, 자사 IP 뭐든지, 인트라 내의 IP를 설정하는 등 해 회피.

SaaS의 SSO를 AzureAD에 보내고 있는 경우, 게스트 사용자는 Office365만 나오지 않는 경우도 나온다.

또, 사내 계정이지만 외부의 쪽에 사용하게 하는 시나리오라면, 사내 IP 이외로부터의 액세스가 되어 버린다. AzureADP 라이센스의 할당은 필요하지만, 같은 방법을 사용할 수 있으므로, 스테이지 드롤 아웃과 조합하면 보다 안전한 인증 제어를 실시하지 않을까.

좋은 웹페이지 즐겨찾기