Microsoft Intune をデプロイした組織では、デバイスから返された情報を使用して、以下のようなコンプライアンス要件を満たすデバイスを識別することができます。
- ロック解除に PIN が必要
- デバイスの暗号化が必要
- オペレーティング システムの最小または最大バージョンが必要
- デバイスが脱獄または root 化されていないことが必要
ポリシー準拠情報は Microsoft Entra ID に送信され、そこで条件付きアクセスによってリソースへのアクセスの許可またはブロックが決定されます。 デバイス コンプライアンス ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するようにデバイスにルールを設定する」を参照してください。
Microsoft Entra ハイブリッド参加済みデバイスを要求できるかどうかは、デバイスが既に Microsoft Entra ハイブリッドに参加しているかどうかによって決まります。 詳細については、 Microsoft Entra ハイブリッド結合の構成に関する記事を参照してください。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレイクグラスアカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
-
サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- これらのアカウントがスクリプトまたはコードで使用されている場合は、 マネージド ID に置き換えることを検討してください。
テンプレートのデプロイ
組織は、次に示す手順を使用するか、 条件付きアクセス テンプレートを使用して、このポリシーを展開することを選択できます。
条件付きアクセス ポリシーを作成する
次の手順は、多要素認証、組織の Intune コンプライアンス ポリシーに準拠しているとマークされるリソースにアクセスするデバイス、もしくは Microsoft Entra ハイブリッドに参加しているデバイスを要求する条件付きアクセス ポリシーを作成するのに役立ちます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、[ すべてのユーザー] を選択します。
-
[除外] の下に
-
ユーザーとグループの選択
- 組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
- Microsoft Entra Connect や Microsoft Entra Connect Cloud Sync などのハイブリッド ID ソリューションを使用する場合は、[ディレクトリ ロール] を選択し、[ディレクトリ同期アカウント] を選択します
-
ユーザーとグループの選択
- [ターゲット リソース>リソース (旧称クラウド アプリ)>に含める、すべてのリソース (以前の「すべてのクラウド アプリ」)を選択します。
- ポリシーから特定のアプリケーションを除外する必要がある場合は、[除外するクラウド アプリの選択] の下の [除外] タブから選択し、[選択] を選択できます。
-
アクセス制御>許可。
- [多要素認証を要求する]、[デバイスを準拠としてマークする必要]、[Microsoft Entra ハイブリッド参加済みデバイスを必須にする] の順に選択します
- 複数のコントロールの場合は 、[ 選択したコントロールの 1 つを必須にする] を選択します。
- 選択 を選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
注
選択した場合でも、新しいデバイスを Intune に登録できます: 前の手順を使用して、すべてのユーザーとすべてのリソース (以前の "すべてのクラウド アプリ")に対してデバイスを準拠としてマークする必要がある。 デバイスを準拠コントロールとしてマークする必要がある 場合でも、Intune の登録と Microsoft Intune Web ポータル サイト アプリケーションへのアクセスはブロックされません。
既知の動作
iOS、Android、macOS、および一部の Microsoft 以外の Web ブラウザーでは、Microsoft Entra ID は、デバイスが Microsoft Entra ID に登録されるときにプロビジョニングされるクライアント証明書を使用してデバイスを識別します。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。
サブスクリプションのライセンス認証
サブスクリプションのアクティブ化機能を使用して、ユーザーが Windows の 1 つのバージョンから別のバージョンに "ステップアップ" できるようにし、条件付きアクセス ポリシーを使用してアクセスを制御する組織は、除外されたクラウド アプリの選択を使用して、条件付きアクセス ポリシーから次のいずれかのクラウド アプリを除外する必要があります。
ユニバーサル ストア サービス API と Web アプリケーション、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
ビジネス向け Windows ストア、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
アプリ ID は両方のインスタンスで同じですが、クラウド アプリの名前はテナントによって異なります。
デバイスが長時間オフラインになっているとき、この条件付きアクセスの除外が適用されていない場合、デバイスは自動的に再アクティブ化されないことがあります。 この条件付きアクセスの除外を設定すると、サブスクリプションのアクティブ化が引き続きシームレスに機能するようになります。
KB5034848 以降の Windows 11 バージョン 23H2 以降では、サブスクリプションのアクティブ化を再アクティブ化する必要があるときに、トースト通知による認証を求められます。 トースト通知には、次のメッセージが表示されます。
アカウントに認証が必要
職場または学校アカウントにサインインして、情報を確認してください。
さらに、[ アクティブ化 ] ウィンドウに次のメッセージが表示される場合があります。
職場または学校アカウントにサインインして、情報を確認してください。
通常、認証のプロンプトは、デバイスが長時間オフラインになっている場合に発生します。 この変更により、 KB5034848 以降の Windows 11 バージョン 23H2 の条件付きアクセス ポリシーで除外する必要がなくなります。 トースト通知によるユーザー認証のプロンプトが表示されるのを避けたい場合でも、条件付きアクセス ポリシーは Windows 11 バージョン 23H2 で KB5034848 以降で使用できます。
次のステップ
条件付きアクセス レポート専用モードを使用して効果を判断する