Microsoft Entra IDの条件付きアクセスを利用した利用規約の設定と注意点

Microsof Entra IDでは、条件付きアクセスの機能を利用することで、組織のユーザーに対し、サインイン時に利用規約を表示させることが可能です。

本記事では、利用規約の作成手順に加え、ユーザー側の動作も解説します。

また、利用規約を設定する際に押さえておくべき注意点も併せてご紹介します。

• 利用規約の概要
• 利用規約の設定手順
  • 利用規約の作成
  • 条件付きアクセスに利用規約を設定
  • ユーザー側で動作確認
• 利用規約を設定する際の注意点
  • 定期的な利用規約の再表示
  • 利用規約のPDF差し替え時の設定
• おわりに

利用規約の概要

条件付きアクセスの利用規約機能は、ユーザーがクラウドサービスやアプリにアクセスする前に 利用規約へ同意することを求める仕組み です。

管理者は事前にPDF形式で規約を準備し、ユーザーのサインイン時に提示することができるため、組織のセキュリティやコンプライアンスを強化できます。

さらに、管理者側では、利用規約に誰が同意して誰が同意しなかったか、提供されるログやAPIで確認することができます。

利用規約を利用する際の前提条件を下記に記載いたします。

• 割り当て対象ユーザーおよび利用規約を設定する管理者アカウントにMicrosoft Entra ID P1ライセンスを付与する
• 利用規約を設定する管理者アカウントに「条件付きアクセス管理者」ロールを割り当てる
• PDF形式での使用条件ドキュメントを用意する(モバイルデバイスのユーザーをサポートする場合、PDFの推奨フォント サイズは24ポイント)

利用規約の設定手順

利用規約の作成

1.[Microsoft Entra管理センター]に接続する。

2.[条件付きアクセス]>[利用規約]をクリックする。

3.[新しい条件]をクリックする。

4.[新しい利用規約]画面にて、下記設定値を参考に入力を行う。

• 利用規約：
  • 　利用規約ドキュメント：条件付きアクセスに表示する利用規約の名前
  • 　既定の言語を選択します：日本語(任意の言語)
  • 　表示名：ユーザーに表示させる利用規約の名前
  • 　ユーザーは利用規約を展開する必要があります：オン(展開必須)
  • 　各デバイスでユーザーによる同意が必要：オン(各デバイスで同意必須)
  • 　同意の期限：利用規約の期限を設けるかの設定
  • 　以下の日付から期限切れになります：期限切れの日付
  • 　頻度：期限切れになる頻度の設定
  • 　もう一度同意を求めるまでの期間(日数)：指定した日数ごとに期限切れ
• 条件付きアクセス：
  • 条件付きアクセス ポリシー テンプレートを使用して適用します：条件付きアクセス ポリシーを後で作成(条件付きアクセスポリシーを作成する時に、制御の許可一覧に表示される)

5.入力が完了したら[作成]をクリックする。

6.作成した利用規約が表示されることを確認する。

条件付きアクセスに利用規約を設定

1.[Microsoft Entra管理センター]に接続する。

2.[条件付きアクセス]をクリックする。

3.[新しいポリシーの作成]をクリックする。

4.[新規]画面にて、下記設定値を参考に入力を行う。

• 名前：条件付きアクセスのポリシー名
• 割り当て：対象のユーザー/グループ
• ターゲットリソース：アクセス先のリソース

5.[アクセス制御]>[許可]の[0個のコントロールが選択されました]をクリックする。

6.作成した利用規約にチェックを付け[選択]をクリックする。

7.[レポートの有効化]を[オン]に設定し、[作成]をクリックする。

ユーザー側で動作確認

1.条件付きアクセスの対象アプリ(今回はOutlook)へのサインイン画面にて[サインイン]をクリックする。

2.IDを入力し[次へ]をクリックする。

3.パスワードを入力し[サインイン]をクリックする。

4.MFA承認を実施する。

5.利用規約が表示されることを確認する。

6.利用規約を展開せず、[承諾する]をクリックする。

7.[利用規約を読む必要があります]と表示され、承諾できないことを確認する。

8.次に、[拒否]をクリックする。 

9.[使用条件を拒否しますか？]と表示されるため、さらに[拒否]をクリックする。

10.[アクセスが制限されています]と表示され、リソースへアクセスできないことを確認できる。

11.再度新しいタブにて手順1~5を実施し、今度は利用規約を展開する。

12.利用規約展開後に[承諾する]をクリックする。

13.[サインインの状態を維持しますか？]にて[いいえ]または[はい]をクリックする。

14.Outlookにサインインできることを確認して完了となる。

利用規約を設定する際の注意点

定期的な利用規約の再表示

利用規約の作成時に、設定オプションとして、[同意の期限]または[再同意が必要な期間(日数)]を設定することが可能となっています。

ただ、Microsoft Entra join端末などのプライマリー更新トークン(以下、PRTトークン)を所持している場合、[同意の期限]または[再同意が必要な期間(日数)]を迎えても、利用規約が再表示されないことがあります。

これは、PRTトークンに記録されている[更新日時]が、条件付きアクセスで設定されたサインイン頻度の期間内にある場合、PRTトークンが４時間周期で自動更新され、セッションが維持されるためです。

そのため、設定した期限通りに利用規約を再表示させるためには、条件付きアクセスのセッション制御を[毎回]に設定し、ユーザーがサインインするたびにセッションが切れる構成とする必要があります。

利用規約のPDF差し替え時の設定

利用規約は、PDFのみ差し替えることも可能となります。

差し替え方法としては、[条件付きアクセス]>[利用規約]にて、設定済みの利用規約を選択後、[条件の編集]をクリックします。

[更新]をクリックします。

[使用条件のバージョンの更新]画面が表示されるため、利用規約の新規ドキュメントをアップロードし、[追加]をクリックすることでPDFのみ差し替えが可能となります。

おわりに

本記事では、利用規約の作成・設定方法と注意点を解説しました。

今後、利用規約の導入を検討される際には、ぜひここでご紹介したポイントを参考にしていただければ幸いです。