🏛 愛知県・名古屋市 スタートアップ支援補助金 採択(審査通過率20%以下)
ジョーシス | 情報システム部合同会社

中小企業でもできる!Microsoft 365「条件付きアクセス」で不正ログインをブロックする方法

公開日: 2026年3月30日更新日: 2026年3月24日

中小企業でもできる!Microsoft 365「条件付きアクセス」で不正ログインをブロックする方法

担当ライター: 小林
投稿曜日: 月曜日

おはようございます、小林です。月曜日なので今週のITアクションをお届けします。

今回のテーマは Microsoft 365の「条件付きアクセス」 です。「名前は聞いたことあるけど難しそう……」って思ってる人、多いんじゃないですか。まあ、気持ちはわかります。でも正直に言います。設定しないのはリスクを放置しているのと同じです。今日でちゃんと理解してください。

そもそも「条件付きアクセス」って何?

条件付きアクセスとは、「誰が・どこから・どのデバイスで」ログインするかに応じて、アクセスを許可・拒否・追加認証要求を自動で判断する仕組みです。

たとえばこんなことができます。

  • 社外のIPアドレスからのログインには多要素認証(MFA)を要求する
  • 会社が管理していない個人PCからのアクセスをブロックする
  • 「危険なサインイン」と判定されたセッションを自動でブロックする

要するに、ただパスワードが合っていればOK、という時代は終わりということです。パスワードは漏れます。実際に漏れています。条件付きアクセスはその「漏れた後」の防衛ラインです。

中小企業には関係ない、は大きな勘違い

「条件付きアクセスって大企業向けでしょ?」——よく聞く言い訳です。違います。

中小企業こそ狙われやすい。専任のセキュリティ担当がいない、ポリシーが整備されていない、従業員のセキュリティ教育が追いついていない。攻撃者はそこをよく知っています。

Microsoft 365 Business Premium(月額2,750円/ユーザー)以上のプランであれば、条件付きアクセスは追加費用なしで使えます。すでに払っているライセンスに含まれているのに、使わないのはもったいないどころか危険です。

今すぐ設定すべき3つのポリシー

難しい話は後回しにして、まず「これだけ設定すれば最低限の防衛ラインができる」3つを紹介します。

1. 全ユーザーへのMFA強制

最も基本で最も効果的な設定です。

設定場所: Microsoft Entra 管理センター → 保護 → 条件付きアクセス → 新しいポリシー

  • 対象ユーザー: 全ユーザー(ゲストは除外可)
  • 対象アプリ: すべてのクラウドアプリ
  • アクセス制御: 多要素認証を要求する

これだけで、パスワードが漏れてもアカウントを守れます。MFAを突破するには物理デバイス(スマートフォン等)が必要なので、リモートからの不正ログインを大幅に防げます。

2. レガシー認証のブロック

「レガシー認証」とは、古いメールクライアントやプロトコル(IMAP、SMTP認証など)が使う古い認証方式のこと。MFAが効かないという致命的な弱点があります。

Microsoft のデータによると、パスワードスプレー攻撃の99%以上がレガシー認証を経由しています。使っていないなら即ブロックです。

  • 条件: クライアントアプリ → 「Exchange ActiveSync クライアント」と「他のクライアント」を選択
  • アクセス制御: ブロック

古いOutlookや一部のシステム連携で使っている場合は確認が必要ですが、多くの中小企業では問題なくブロックできます。

3. リスクベースのMFA要求

Microsoft Entra ID Protection(Business Premium以上)を使うと、不審なログイン試行を自動検知してMFAを要求できます。

  • 見慣れない国からのアクセス
  • 短時間に複数の国からのアクセス(あり得ない移動速度)
  • マルウェア感染デバイスからのアクセス

こういった「リスクの高いサインイン」だけにMFAを要求することで、社内からの通常ログインの煩わしさを下げながら、怪しいアクセスだけ弾けます。

設定前の注意点(ここ大事)

条件付きアクセスは強力な反面、設定を間違えると正規ユーザーもログインできなくなります

必ず以下の手順を踏んでください。

1. グローバル管理者アカウントをポリシーの対象外にする(緊急時のアクセス確保)
2. 「レポート専用モード」で動作を確認する(実際にブロックせず、ログで影響を確認)
3. 段階的に展開する(まず一部ユーザーで試し、問題がなければ全体適用)

焦って全適用して「誰もログインできない」は笑えない話じゃないので、丁寧にやること。

今週のITアクション

  • [ ] Microsoft Entra 管理センターを開く(https://entra.microsoft.com)
  • [ ] 現在適用されている条件付きアクセスポリシーを確認する
  • [ ] 「セキュリティの既定値群」が有効になっているか確認する(有効なら条件付きアクセスとの併用に注意)
  • [ ] まずMFA強制ポリシーをレポート専用モードで作成する

「難しそう」と感じたなら、それが設定されていないサインです。難しいから放置、は通りません。わからなければ専門家に相談してください。それが一番早い。

以上、小林でした。来週もちゃんと対応してくれることを期待しています。

小林

小林

20代後半 / ITサポートエンジニア

赤縁メガネがトレードマーク。「使えばわかる、使わない理由はない」をモットーに、毎週月曜日に中小企業がすぐ試せるITアクションを発信中。ツンデレな物言いでも、最後はきちんと助けてくれます。

📅 担当: 毎週月曜日「今週のITアクション」

IT部門代行サービス「ジョーシス」

この記事のような課題でお困りですか?まずは無料でご相談ください。

無料で始めるまず相談する
← ブログ一覧に戻る

NEW SERVICE

オフショア開発3.0——失敗しない開発体制

日本人ブリッジエンジニアが橋渡し。受託・ラボ契約の2形態で対応。

詳しく見る →