【 New-MgIdentityConditionalAccessPolicy 】コマンドレット――Azure Active Directoryの条件付きアクセスポリシーを作成するWindows PowerShell基本Tips(78)

本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「New-MgIdentityConditionalAccessPolicy」コマンドレットを解説します。

» 2023年07月28日 05時00分 公開
[国井傑株式会社エストディアン]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「Windows PowerShell基本Tips」のインデックス

連載目次

 本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、「Azure Active Directory」(Azure AD、2023年10月に新名称「Microsoft Entra ID」に変更される予定)の条件付きアクセスポリシーを新規作成する「New-MgIdentityConditionalAccessPolicy」コマンドレットです。

目次

New-MgIdentityConditionalAccessPolicyの概要 | 書式 | オプション

実行例

New-MgIdentityConditionalAccessPolicyコマンドレットとは?

 「New-MgIdentityConditionalAccessPolicy」は、PowerShellを利用してAzure ADの「条件付きアクセスポリシー」を新規作成するためのコマンドレットです。条件付きアクセスポリシーはAzure ADのポータルサイトである「Microsoft Entra管理センター」でも作成できますが、さまざまな状況に合わせて動的にポリシーを作成したい場合などに有効です。

 なお、New-MgIdentityConditionalAccessPolicyコマンドレットは、本連載第45回で解説した「Connect-MgGraph」コマンドレットで「Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"」と実行して、Azure ADへの接続とアクセス許可を与えておくことが前提条件になります。

New-MgIdentityConditionalAccessPolicyコマンドレットの書式

New-MgIdentityConditionalAccessPolicy [オプション]

New-MgIdentityConditionalAccessPolicyコマンドレットの主なオプション

オプション 意味
-BodyParameter 条件付きアクセスポリシーのパラメーターを指定する

目次に戻る


作成する条件付きアクセスポリシーのパラメーターを指定する

 New-MgIdentityConditionalAccessPolicyコマンドレットで条件付きアクセスポリシーを作成する場合は、「-BodyParameter」オプションで全てのパラメーターを指定します。以下の実行例では「グローバル管理者が『Office365』にアクセスするときには多要素認証を要求する」というポリシーを作成するためのパラメーターを指定しています。指定するパラメーターは「ポリシー名(DisplayName)」「有効/無効の定義(State)」「条件(Conditions)」が含まれるように、以下のような形式で指定しています(画面1)。

コマンドレット実行例

  1. $params = @{
  2.   DisplayName = "管理者によるOffice365アクセス"
  3.   State = "enabled"
  4.   Conditions = @{
  5.     Applications = @{
  6.       IncludeApplications = @(
  7.         "Office365"
  8.       )
  9.     }
  10.     Users = @{
  11.       IncludeGroups = @(
  12.         "62e90394-69f5-4237-9190-012177145e10"
  13.        )
  14.     }
  15.    }
  16.    GrantControls = @{
  17.      Operator = "OR"
  18.      BuiltInControls = @(
  19.        "mfa"
  20.      )
  21.    }
  22. }
画面1 画面1 条件付きアクセスポリシーを作成する場合は、「-BodyParameter」オプションで全てのパラメーターを指定する

 パラメーターでは、「DisplayName」でポリシーの名前(管理者によるOffice365アクセス)、「State」で有効/無効の指定、「Conditions」でポリシーに設定する条件を指定しています。

 また、Conditions内で指定しているパラメーターとして、「Applications」でアプリの名前(ここでは「Office365」と指定しているが、その他のアプリを指定するときはMicrosoft Entra管理センターから確認可能なアプリIDを指定する必要がある)、「Users」で対象となるユーザー(ここではグローバル管理者のロールIDを「Get-MgDirectoryRoleTemplate」コマンドレットで調べた上で登録している)、「GrantControls」でアクセスの許可/拒否(ここでは多要素認証《MFA》を行った上で許可する設定を行っている)をそれぞれ指定しています。

目次に戻る


パラメーターを基に条件付きアクセスポリシーを作成する

 前項の手順で指定したパラメーターを基にポリシーを作成する場合は、New-MgIdentityConditionalAccessPolicyコマンドレットに続けて「-BodyParameter」オプションを使用します(画面2)。

コマンドレット実行例

  1. New-MgIdentityConditionalAccessPolicy -BodyParameter $params
画面1 画面1 -BodyParameterオプションで$params変数を指定することで、前の手順で作成したパラメーターを基に条件付きアクセスポリシーを作成できる
驍オ�コ髦ョ蜻サ�ソ�ス鬯ィ�セ�ス�」鬮エ莠・�ウ�ィ�ス蝣、�ク�イ驕抵ソスツ€�ス�」鬮エ驛∵ュ難ソス�ィ陋滂ソス�ス�コ闕オ譏エ�樣Δ譎「�ス�ゥ驛「譎「�ス�シ驛「譎冗樟�つ€鬮ヲ�ェ遶企ヲエツ€蜈キ�ス�サ鬯ェ�ュ�ス�イ驍オ�コ陷キ�カ�ス�ス New

筆者紹介

国井 傑(くにい すぐる)

株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVP for Enterprise Mobilityを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

Server & Storage 鬮ォ�ェ陋滂ソス�ス�コ闕オ譁溷クキ�ケ譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー

髫エ蟷「�ス�ャ髫エ魃会スス�・髫エ蟶キ�」�ッ闖ォ�」
» 驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー驛「�ァ陋幢スオ�ス繧会スク�コ�ス�」驍オ�コ�ス�ィ鬮ォ遨ゑスケ譎「�ス�ス
» 驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー驛「�ァ陋幢スオ�ス繧会スク�コ�ス�」驍オ�コ�ス�ィ鬮ォ遨ゑスケ譎「�ス�ス

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。