「Microsoft 365を導入したが、社外からのアクセスや退職者の不正アクセスが心配」「MFAを必須化したいが、社員のスマホで手間が増えるのは避けたい」「拠点（オフィス）からのアクセスは簡単に、社外からは厳格に、というメリハリのあるセキュリティを実現したい」——M365導入後のセキュリティ強化を担当する情シス担当者からよく聞く悩みです。

その答えが Microsoft Entra ID（旧Azure AD）の条件付きアクセス です。条件付きアクセスを使えば、「誰が」「どこから」「どのデバイスで」「何にアクセスする」という条件でログインを制御し、状況に応じたセキュリティポリシーを適用できます。中小〜中堅企業でも、適切なライセンスを持っていれば導入可能で、ゼロトラストセキュリティの第一歩としても重要な機能です。

本記事では、情シス担当者向けに、条件付きアクセスの仕組み・必要ライセンス・推奨ポリシー5パターン・導入5ステップ・トラブル回避策 を実務ベースで解説します。

この記事でわかること

• Microsoft Entra ID 条件付きアクセスとは何か（従来のIDセキュリティとの違い）
• 必要なライセンス（Entra ID P1とP2の違い）
• すぐに導入できる推奨ポリシー5パターン
• 導入5ステップの実務手順
• ありがちなトラブル5選と回避策
• 運用後のチューニングのコツ

想定読者

本記事は、次のような方を想定しています。

• Microsoft 365 を導入済みで、セキュリティを次のレベルに引き上げたい情シス担当者
• 条件付きアクセスの導入を検討中だが、設計手順がわからない方
• MFA必須化を進めたいが、利便性とのバランスに悩んでいるDX推進担当者
• リモートワーク時代のセキュリティ強化を求められている経営企画

---

条件付きアクセスとは？従来のIDセキュリティとの違い

Microsoft Entra ID 条件付きアクセス（Conditional Access） は、「ユーザーがリソースにサインインしようとしたとき、複数の条件を組み合わせて評価し、許可・追加認証要求・ブロックを動的に決定する」セキュリティ機能です。

従来のIDセキュリティとの違い

なぜ条件付きアクセスが必要か

リモートワークが定着した2026年現在、「社内＝安全・社外＝危険」という前提のセキュリティでは限界です。攻撃者は盗んだID・パスワードで社外から正規ユーザーを装ってログインし、検出されないまま情報を持ち出します。

条件付きアクセスは、ID/パスワードが一致しても 「不審な状況」を検知して追加認証を要求することで、こうした攻撃を防ぎます。

---

必要なライセンス（Entra ID P1とP2の違い）

条件付きアクセスを使うには、Entra ID P1以上のライセンスが必要です。Microsoft 365 の各プランへの含まれ方は以下のとおりです。

Entra ID P1 と P2 の機能差

判断のポイント：

• 中堅企業の標準セキュリティなら P1（Business Premium または E3） で十分
• P2（E5 または別途購入） が必要なケース：
• 内部脅威対策・不審ログインの自動検知が必須
• 特権アカウント（管理者）の管理を厳格化したい
• コンプライアンス要件（金融・医療・公共）で必要

---

すぐに導入できる推奨ポリシー5パターン

条件付きアクセスは細かく設定できますが、まず実装すべき5パターンから始めるのが実務的です。

ポリシー1：すべてのユーザーにMFA必須化（最優先）

設定内容：

• 対象ユーザー：すべてのユーザー（除外：緊急アクセス用「ブレークグラスアカウント」）
• 対象アプリ：すべてのクラウドアプリ
• 条件：すべてのアクセス
• 制御：MFAを要求

効果： 全ログインでMFA必須化。盗難パスワードによる侵入を80〜90%防止。

注意： 緊急時に管理者すら入れなくなるリスクを避けるため、ブレークグラスアカウント（緊急用管理者）2つを除外設定する。

ポリシー2：管理者には常にMFA要求＋デバイス準拠

設定内容：

• 対象ユーザー：すべての管理者ロール（グローバル管理者・セキュリティ管理者など）
• 制御：MFA要求＋ハイブリッド参加または準拠デバイスのみ許可

効果： 管理者アカウント乗っ取りを高難易度化。最重要対策の一つ。

ポリシー3：信頼できる場所からのアクセスはMFA緩和（利便性向上）

設定内容：

• 対象ユーザー：一般社員
• 条件：「信頼できるIPアドレス」（オフィスのIP）からのアクセス
• 制御：MFA要求から除外（ID/パスワードのみで許可）

効果： 社内オフィスでは利便性向上、社外からは厳格に。社員からの「MFA面倒」の苦情を大幅減。

設計のコツ： モバイルワークが多い企業はこのポリシーを使わず、全ログインMFAの方がシンプル。

ポリシー4：レガシー認証のブロック

設定内容：

• 対象ユーザー：すべて
• 条件：クライアントアプリが「レガシー認証」（POP/IMAP/古いExchange等）
• 制御：アクセスをブロック

効果： 古いプロトコル経由の攻撃をシャットアウト。ランサムウェア侵入経路の最多を防げる。

ポリシー5：海外（または特定国）からのアクセスを制限

設定内容：

• 対象ユーザー：すべて（または海外出張のない部門）
• 条件：「日本以外」からのアクセス
• 制御：ブロック または 追加MFA要求

効果： 海外からの不正ログイン試行を排除。海外出張する人は個別ポリシーで除外。

---

導入5ステップの実務手順

ステップ1：現状把握とライセンス確認（1〜2日）

• 現在のM365プランで Entra ID P1/P2 が含まれるか確認
• 不足の場合、Business Premium または E3 へのアップグレード or アドオン契約を検討
• 既存のMFA設定状況を確認（旧来のSecurity Defaults と条件付きアクセスは併用不可）

ステップ2：レポート専用モードで影響を試算（1〜2週間）

新ポリシーをいきなり「有効」にせず、まず 「レポート専用」モードで2週間運用します。

• 実ログインに影響を与えず、ポリシーが適用されたら何が起きるかをログで記録
• 想定外のブロックが発生しないかを事前確認

ステップ3：管理者からパイロット展開（1〜2週間）

• まず情シスチームの管理者アカウントから有効化
• 自分たちでMFAフロー・利便性を体感
• トラブル時の対応マニュアルを作成

ステップ4：部門別段階展開（2〜4週間）

• 部門ごとに有効化（例：管理部 → 営業 → 全社）
• 各部門の展開時に説明会・FAQを準備
• 苦情・トラブルを翌週までにフィードバック収集

ステップ5：全社展開＆運用定着（継続）

• 全社員でMFA・条件付きアクセス有効化
• ログ監視ダッシュボードで日次・週次のサインインを確認
• 月次でポリシーのチューニング

---

「自社にどのポリシーが最適か判断したい」「導入の段階展開を一緒に設計してほしい」——そんな場合は、M365・セキュリティ実装の実績豊富なパートナーに相談するのが近道です。

---

ありがちなトラブル5選と回避策

トラブル1：「Security Defaults」と条件付きアクセスが併用できず混乱

症状： Security Defaultsを無効化していなかったため、条件付きアクセスポリシーが想定通り動かない

回避策： 条件付きアクセス導入前に、Security Defaultsを必ず無効化する（Entra ID 管理センターから操作）。

トラブル2：管理者全員がMFA設定漏れでロックアウト

症状： ポリシー有効化直後、管理者がMFA未登録だったため誰もログインできなくなる

回避策： ブレークグラスアカウント（緊急用）2つを必ず除外設定。Microsoftの公式推奨で、絶対に守るべきベストプラクティス。

トラブル3：ハイブリッド環境（社内Active Directory）との連携でループ

症状： オンプレADと連携する企業で、二重認証ループが発生する

回避策：

• AD Connect の同期設定を事前に確認
• ハイブリッド参加デバイスの認識が正しいかテスト
• パイロット段階で必ず検証

トラブル4：レポート専用モードを飛ばして本番有効化→業務停止

症状： いきなり「オン」にしたため、想定外の社員がログインできなくなり業務停止

回避策： 必ず2週間のレポート専用モードを経由。ログを毎日チェックし、異常がないことを確認してから有効化。

トラブル5：国/地域ベースのIPブロックで国内出張先からアクセス不可

症状： 「海外ブロック」ポリシーを設定したら、国内出張中の社員がホテルのVPN経由でブロックされた

回避策：

• 出張・在宅勤務を考慮し、ブロック対象は厳選
• 海外出張がある社員は事前に個別除外設定
• 「ブロック」ではなく「追加MFA要求」にすれば誤遮断を緩和

---

運用後のチューニングのコツ

月次レビュー項目

• サインインログで 失敗ログイン上位10件 をチェック（ブロックの妥当性・誤遮断の有無）
• MFA要求頻度 が高すぎないかチェック（社員の負担になっていないか）
• 新規導入アプリ・サービスがポリシー対象に含まれているか確認

ポリシーの段階的厳格化

最初から完璧を目指さず、「許容範囲のポリシー」から始め、徐々に厳格化していくのが失敗しないコツ。

緊急対応の準備

万が一の障害時に備えて：

• ブレークグラスアカウントの認証情報を物理金庫で保管
• ロックアウト時の連絡先・対応手順をドキュメント化
• Microsoft サポート連絡先（プレミア・プロサポート）を確認

---

よくある質問

Q. Security Defaults だけではダメですか？

A. Security Defaults は 無料で全ユーザーMFA必須化できる便利機能ですが、詳細な制御ができません（社内除外・部門別など）。利便性とセキュリティのバランスを取りたい中堅企業なら、条件付きアクセスへの移行が必要です。

Q. MFA を必須化すると、社員から不満が出ないか心配です。

A. 段階展開＋利便性とのバランス設計で乗り越えられます。具体的には：

• オフィス内の信頼できるIPからはMFA緩和
• スマホアプリ（Microsoft Authenticator）でワンタップ承認
• 「デバイスを記憶」オプションで頻度を下げる
• 社員説明会で「あなたのアカウントを守るため」と価値を伝える

Q. P1とP2、どちらを選ぶべきですか？

A. 多くの中堅企業はP1（Business Premium）で十分です。P2を検討すべきは：

• 内部脅威対策が必要（社員数100名以上の企業）
• 金融・医療・公共などコンプライアンス要件が厳しい
• 既にPower BI Pro が必要 → E5（P2込み）の方が経済的なケース

Q. 旧Azure ADから Entra ID への名称変更で何か変わりますか？

A. 機能はほぼ同じで、名称と管理画面のUIが新しくなっただけです。条件付きアクセスの設定方法・効果・ライセンス要件は変更ありません。混乱しがちなのは、古いMicrosoftドキュメントが「Azure AD」表記のまま残っていること。最新の情報は「Entra ID」で検索しましょう。

Q. 条件付きアクセスで業務システム（オンプレ）も保護できますか？

A. クラウドアプリ＋一部のオンプレアプリに対応します。M365・Salesforce・Boxなどのクラウドアプリは標準対応。オンプレのWebアプリは Application Proxy 経由で連携することで保護可能です。閉じたネットワーク内のレガシーシステムは別途VPN・ゼロトラストネットワークの設計が必要です。

---

まとめ

本記事のポイントをまとめます。

• 条件付きアクセスとは：ID/パスワードに加えて場所・デバイス・リスクで動的に制御
• 必要ライセンス：Entra ID P1（Business Premium・E3）以上
• 推奨ポリシー5パターン：MFA必須化、管理者強化、信頼できる場所緩和、レガシー認証ブロック、海外制限
• 導入5ステップ：現状把握 → レポート専用モード → 管理者パイロット → 部門展開 → 全社展開
• トラブル回避：Security Defaults無効化、ブレークグラスアカウント設定、レポート専用モード必須
• 運用チューニング：月次レビュー、段階的厳格化、緊急対応準備

条件付きアクセスは「設定すれば終わり」ではなく、運用を通じて継続的に最適化するセキュリティ機能です。最初から完璧を目指すのではなく、段階的に組織のセキュリティ成熟度を上げていく進め方が成功の鍵です。

---

c3index に相談する

シースリーインデックスは、Microsoft 365・Entra ID 条件付きアクセスの設計・導入支援・運用代行まで対応するシステム会社です。「自社にどのポリシーが最適か判断したい」「Security Defaults からの移行手順を相談したい」「導入後の運用をプロに任せたい」——そうしたご相談にも対応しています。

製造業・中小企業の情シス支援実績をもとに、御社の業務・規模・既存環境に合わせた 無理のない段階導入計画をご提案いたします。まずはお気軽にお問い合わせください。