【 New-MgIdentityConditionalAccessNamedLocation 】コマンドレット――Microsoft Entra ID(旧Azure AD)のネームドロケーションを作成する:Windows PowerShell基本Tips(81)
本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「New-MgIdentityConditionalAccessNamedLocation」コマンドレットを解説します。
本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、「Microsoft Entra ID」(旧称:Microsoft Azure Active Directory)の条件付きアクセスポリシーで、IPアドレスベースのアクセス制御を行う際に利用する「ネームドロケーション」を新規作成する「New-MgIdentityConditionalAccessNamedLocation」コマンドレットです。
New-MgIdentityConditionalAccessNamedLocationコマンドレットとは?
「New-MgIdentityConditionalAccessNamedLocation」は、PowerShellを利用してMicrosoft Entra ID(Azure AD)の条件付きアクセスポリシーで使用する「ネームドロケーション」を作成するためのコマンドレットです。
IPアドレスを基にアクセス制御を行う際、ネームドロケーションでIPアドレスを事前に定義しますが、動的に変化するIPアドレスに合わせてネームドロケーションの新規作成が求められるようなケースにおいて、PowerShellからネームドロケーションを作成するコマンドレットが役立ちます。
なお、New-MgIdentityConditionalAccessNamedLocationコマンドレットは、本連載第45回で解説した「Connect-MgGraph」コマンドレットで「Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess,Policy.Read.All"」と実行して、Microsoft Entra IDへの接続とアクセス許可を与えておくことが前提条件になります。
New-MgIdentityConditionalAccessNamedLocationコマンドレットの書式
New-MgIdentityConditionalAccessNamedLocation [オプション]
New-MgIdentityConditionalAccessNamedLocationコマンドレットの主なオプション
| オプション | 意味 |
|---|---|
| -BodyParameter | ネームドロケーションのパラメーターを指定する |
ネームドロケーションのパラメーターを指定する
New-MgIdentityConditionalAccessNamedLocationコマンドレットでは、本連載第78回で解説した「New-MgIdentityConditionalAccessPolicy」コマンドレットと同じように、パラメーターを「-BodyParameter」オプション内で指定します。
例えば、単一のIPアドレス「x.x.x.x」を指定したネームドロケーションを作成する場合、パラメーターにはネームドロケーションの名(DisplayName)、信頼できる場所としてマークする(IsTrusted)、IPアドレス(CidrAddress)が含まれるように、次のような形式で指定します(画面1)。なお、IPアドレスはCIDR(Classless Inter-Domain Routing)形式で記述する必要があります。
コマンドレット実行例
$params = @{
"@odata.type" = "#microsoft.graph.ipNamedLocation"
DisplayName = "本社IPアドレス"
IsTrusted = $false
IpRanges = @(
@{
"@odata.type" = "#microsoft.graph.iPv4CidrRange"
CidrAddress = "x.x.x.x/32"
}
)
}
画面1 パラメーターでは「DisplayName」でネームドロケーションの名前(本社IPアドレス)を、「IsTrusted」で信頼できる場所としてマークする設定を無効に、「IpRanges」でIPアドレスをそれぞれ指定している
パラメーターを基に条件付きアクセスポリシーを作成する
前項の手順で指定したパラメーターを基にポリシーを作成する場合は、New-MgIdentityConditionalAccessNamedLocationコマンドレットに続けて-BodyParameterオプションを使用します(画面2)。
コマンドレット実行例
New-MgIdentityConditionalAccessNamedLocation -BodyParameter $params
画面2 New-MgIdentityConditionalAccessNamedLocationコマンドレットに続けて-BodyParameterオプションで$params変数を指定することで、前項の手順で作成したパラメーターを基にネームドロケーションを作成している
ネームドロケーションのパラメーターとして「国/地域」を指定する
ネームドロケーションのパラメーターではIPアドレスではなく、「国/地域」を指定することもできます。前出の画面1で紹介したパラメーターと同じような要領で、パラメーターにはネームドロケーションの名(DisplayName)、信頼できる場所としてマークする(IsTrusted)、国/地域(CountriesAndRegions)、不明な国または地域をネームドロケーションで判定させるかどうか(IncludeUnknownCountriesAndRegions)が含まれるように、次のような形式で指定しています(画面3)。なお、国/地域を指定する際には、あらかじめ決められている国/地域のコードを使います。
コマンドレット実行例
$params = @{
"@odata.type" = "#microsoft.graph.countryNamedLocation"
DisplayName = "日本または米国"
CountriesAndRegions = @(
"US"
"JP"
)
IncludeUnknownCountriesAndRegions = $true
}
画面3 パラメーターでは「DisplayName」でネームドロケーションの名前(日本または米国)、「CountriesAndRegions」で国/地域の指定(USとJP)、「IncludeUnknownCountriesAndRegions」でIPアドレスから国または地域の判定ができないケースにおいてもネームドロケーションで判定させるように指定している
筆者紹介
国井 傑(くにい すぐる)
株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVP for Enterprise Mobilityを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
Copyright © ITmedia, Inc. All Rights Reserved.