こんにちは、Azure Identity サポート チームの 村上 です。
本記事は、2022 年 1 月 10 日に米国の Azure Active Directory Identity Blog で公開された Continuous Access Evaluation in Azure AD is now generally available! を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。
皆さん、こんにちは。
Azure AD のゼロ トラスト セッション管理ポートフォリオの一部として、継続的アクセス評価 (Continuous Access Evaluation、以下 CAE) の一般提供 (GA) を発表できることを嬉しく思います。
CAE は、以下を含めたアカウントのライフサイクルにおいて発生するイベントとポリシーにリアルタイムに対応します。
- アカウントの取り消し
- アカウントの無効化/削除
- パスワードの変更
- ユーザーの場所の変更
- ユーザー リスクの増大
上記のようなイベントを受け取ると、アプリのセッションは直ちに中断され、ユーザーは Azure AD にリダイレクトされ、再認証やポリシーの再評価が行われます。CAE では、ゼロ トラストの原則 (Verify Explicitly: 明示的な確認と Assume Breach: 攻撃者が既に自社の IT 環境に潜伏していると想定) を基盤に、ゼロ トラスト認証セッション管理という新しい概念を導入しました。ゼロ トラストのアプローチでは、認証セッションの持続時間は事前に定義された期間ではなく、セッションの完全性に依存します。この仕組みは、Shared Signals and Events と呼ばれる業界の取り組みと一致しており、私たちはこのグループの中で、一般公開に耐える継続的アクセスの実装を行った最初の企業であることを誇りに思います。
CAE の一般公開に伴い、すべてのテナントにおいて本機能を自動で有効にしました。Azure AD Premium 1 ライセンスをご利用のお客様は、条件付きアクセスのセッション ブレード で設定を変更したり、CAE を無効にすることができます。
この一般提供により、ポリシーのリアルタイムな適用が可能となり、これによりセッションの持続時間を安全に延長できるため、より安全で耐障害性の高い運用が可能になります。万が一、Azure AD が停止した場合でも、CAE セッションを使用しているユーザーは、影響を受けることなく継続して使用できます。
CAE のおかげで、Exchange Online や SharePoint Online のような重要なサービスで、セッションの取り消しやユーザーの再認証を待つ必要がなくなりました。ユーザー ID でセキュリティ インシデントが発生しても、トークンを即座に失効させることができるので安心感があります。さらに、CAE のデフォルトのセッション持続期間が長いことも、特に障害の可能性に対する耐性を高めるという観点で歓迎すべき利点です。 – BRIDGEWATER 社
CAE は最も人気のあるプレビュー機能の 1 つで、すでに数千のお客様によって数百万人のユーザーに対して導入され成功を収めています。CAE の詳細については、現在 CAE をサポートしている アプリのリスト も含め、こちら でご覧いただけます。
いつものように、皆様のご意見や提案をお聞かせください。コメントをお寄せいただくか、AzureADFeedback までお気軽にご連絡ください。
Alex Simons (Twitter: @alex_a_simons)
Corporate Vice President Program Management
Microsoft Identity Division
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。