Azure 条件付きアクセス policy にプロキシ IP を追加する
このガイドでは、Microsoft Entra ID(旧 Azure AD)のAzure 条件付きアクセス policy に、プロキシまたは送信ファイアウォールの IP アドレスを追加する方法を説明します。
これにより、次のことが可能になります。
- 企業ネットワークのロケーションへのアクセスを制限する
- 信頼された IP(プロキシや VPN の送信ポイントなど)では MFA をバイパスする
- 外部または信頼されていないソースに対して、より厳格な policy を適用する
前提条件
- Azure AD のグローバル管理者またはセキュリティ管理者ロール
- プロキシ/ファイアウォールの外部(送信元)IP アドレスを把握していること
- Azure AD Premium P1 または P2 ライセンス(条件付きアクセスにはこれが必要です)
ステップ 1 - Azure portal にサインインする
- https://portal.Azure.com に移動します
- Microsoft Entra ID ブレード(旧称 Azure Active Directory)を開きます
ステップ 2 - 条件付きアクセスに移動する
- From the side menu:
- Protection → Conditional access をクリックします。
- 既存のpolicyをクリックするか、+ New policyをクリックして作成します。
ステップ 3 - 場所に基づく条件を設定する
- Under your policy:
- Conditions → Locations をクリックします。
- トグルを Yes に設定します。
ステップ 4 - 名前付きの場所を定義する
- Select locations → 次に + Named location をクリックします。
- わかりやすい名前を指定します。例:
Trusted Proxy IP。 - IP ranges で、プロキシまたはファイアウォールのパブリック IP を追加します。
- このIPをtrustedとしてマークする必要がある場合は、チェックボックスをオンにします(MFA またはデバイス コンプライアンス ルール用)。
ステップ 5 - 名前付きの場所を適用する
- Once the named location is saved:
- Select locations 画面に戻ります。
- Select either:
- Include → ユーザーがそのプロキシIPからアクセスしている場合にのみpolicyを適用する
- Exclude → そのIPに対してpolicyをバイパスする(例: MFA から除外)
ステップ 6 - policy を完了する
-
assignments で、policy を適用するユーザー/グループを選択します。
-
access controls で、次を選択します:
- Grant → アクセスをブロックまたは許可する
- Session → サインイン頻度などのオプションの制御
-
Enable policy を On に設定します。
-
Create または Save をクリックします。
使用例
| シナリオ | 条件付きアクセス policy での操作 |
|---|---|
| プロキシ配下のユーザーに対して MFA をバイパスする | "locations" 条件でプロキシIPを除外する |
| プロキシ経由でない場合は MFA を必須にする | すべての IP を含めてから、プロキシ IP を除外する |
| プロキシ経由からのみアクセスを許可する | 名前付きの場所としてプロキシ IP のみを含める |
テストとログ
- Use sign-in logs in Microsoft Entra ID to verify:
- Azure に認識される IP が、プロキシ/ファイアウォールの送信元 IP と一致していること
- 条件付きアクセス policy の結果(
Success、Failure、Not Appliedなど)
ヒント
- 複数のプロキシまたはリージョンごとの送信元 IP の背後にいる場合は、それらをすべて名前付きの場所に追加してください。
- Azure はクライアントのパブリック IPを参照するため、NAT またはフォワードプロキシは正しい外部アドレスを公開する必要があります。
- IP に基づいてアクセスをブロックする場合は注意してください。必ず policy から除外したブレークグラス アカウントでテストしてください。