「保護されたアクション」の条件付きアクセスが一般提供されました。
Conditional Access for Protected Actions is Now Generally Available! - Microsoft Community Hub
これは、ユーザーがサインインするタイミングではなく、リスクを伴う重要な操作をする時により強い条件を加えた条件付きアクセスをかける設定機能です。
現在、重要な操作として保護できるアクションは、次の領域です。
・ 条件付きアクセス ポリシーの管理
・ ネットワークの場所を定義するカスタムルール
・ 保護されたアクションの管理
今後のロードマップでは、以下の追加が予定されています。
・ Microsoft Entra Connect の管理
・ テナント間アクセス設定の管理
・ アプリとサービス プリンシパルの登録に関する資格情報とアクセス許可の管理
これらを実行する前にフィッシング耐性のある多要素認証(MFA)を要求したり、信頼できるデバイスや信頼できる場所の条件を加えることで、攻撃者が管理者アカウントへのアクセス権を盗難した場合でも、追加のセキュリティ基準を満たさなければアクション実行ができないよう、保護できます。
この設定のためには、まず先に「認証コンテキスト」を作成し、条件付きアクセスポリシー定義にセットしてから、その認証コンテキストを「保護されたアクション」にマッピングします。
「保護」メニュー > 「条件付きアクセス」 > 「認証コンテキスト」
認証コンテキストは 25個までなので「信頼できるデバイス」など、リソース横断で利用できるように定義します。
「保護」メニュー > 「条件付きアクセス」 > 「ポリシー」 > 「新しいポリシー」
条件付きアクセスポリシーの新規作成で「ターゲット リソース」に「認証コンテキスト」を選択して、先に作成したコンテキストを設定し、それぞれのコンテキストに合わせたアクセス制御を設定します。
「役割と管理者」メニュー > 「役割と管理者」 > 「保護されたアクション」 > 「保護されたアクションの追加」
「条件付きアクセス認証コンテキスト」で、先に設定したコンテキストを選択し、「アクセス許可」で保護するアクションを選択します。
(参考)
条件付きアクセス ポリシーでのクラウド アプリ、アクション、認証コンテキスト - Microsoft Entra | Microsoft Learn