Microsoft Intune と Microsoft Entra は連携して、 デバイス コンプライアンス ポリシー と条件付きアクセスを通じて組織をセキュリティで保護します。 デバイス コンプライアンス ポリシーは、ユーザー デバイスが最小構成要件を満たしていることを確認します。 この要件は、条件付きアクセス ポリシーで保護されたサービスにユーザーがアクセスする際に適用できます。
一部の組織では、すべてのユーザーにデバイスコンプライアンスを要求する準備ができていない場合があります。 これらの組織は、代わりに次のポリシーを展開することを選択できます。
- 管理者に準拠または Microsoft Entra ハイブリッド参加済みデバイスを要求する
- 準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイス、 または 多要素認証をすべてのユーザーに要求する
- 不明またはサポートされていないデバイス プラットフォームをブロックする
- ブラウザーの永続化を無効にする
ユーザーの除外
条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされる可能性が低いシナリオでは、緊急アクセス管理者アカウントを使用してサインインし、アクセスを回復できます。
- 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
-
サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型アカウントです。 通常、アプリケーションへのプログラムによるアクセスを許可するためにバックエンド サービスによって使用されますが、管理目的でシステムにサインインするためにも使用されます。 サービス プリンシパルによって行われた呼び出しは、ユーザーを対象とする条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合は、 それらをマネージド ID に置き換えます。
Template deployment
組織は、以下で説明する手順に従うか、 条件付きアクセス テンプレートを使用して、このポリシーを展開できます。
条件付きアクセス ポリシーを作成する
次の手順は、リソースにアクセスするデバイスが組織の Intune コンプライアンス ポリシーに準拠としてマークされるように要求する条件付きアクセス ポリシーを作成するのに役立ちます。
警告
Microsoft Intune で作成されたコンプライアンス ポリシーがないと、この条件付きアクセス ポリシーは意図したとおりに機能しません。 先にコンプライアンス ポリシーを作成し、少なくとも 1 つの準拠デバイスがあることを続行する前に確認します。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [含める] で、[すべてのユーザー] を選択します
-
除外の下:
-
ユーザーとグループの選択
- 組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
- Microsoft Entra Connect や Microsoft Entra Connect Cloud Sync などのハイブリッド ID ソリューションを使用する場合は、[ディレクトリ ロール] を選択し、[ディレクトリ同期アカウント] を選択します
-
ユーザーとグループの選択
- ターゲット リソース>リソース(旧称クラウド アプリ)>については、すべてのリソース(旧称「すべてのクラウド アプリ」) を選択します。
-
アクセス制御>許可。
- [ デバイスを準拠としてマークする必要があります] を選択します。
- 選択を選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。
注
新しいデバイスを Intune に登録できます。これは、前の手順を使用して、すべてのユーザーとすべてのリソース (以前の「すべてのクラウド アプリ」)に対してデバイスを準拠としてマークする必要があるを選択した場合でも可能です。 デバイスを準拠コントロールとしてマークする必要がある場合、Intune の登録はブロックされません。
同様に、 デバイスを準拠としてマークする必要がある 場合でも、UserAuthenticationMethod.Read スコープへの Microsoft Authenticator アプリのアクセスはブロックされません。 Authenticator は、ユーザーが構成できる資格情報を決定するために、Authenticator の登録中に UserAuthenticationMethod.Read スコープにアクセスする必要があります。 認証システムでは、資格情報を登録するために UserAuthenticationMethod.ReadWrite にアクセスする必要があります。デバイスを 準拠チェックとしてマークする必要はありません 。
既知の動作
iOS、Android、macOS、および一部の Microsoft 以外の Web ブラウザーでは、Microsoft Entra ID は、デバイスが Microsoft Entra ID に登録されるときにプロビジョニングされるクライアント証明書を使用してデバイスを識別します。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。
B2B シナリオ
関係を持ち、信頼している組織の場合は、デバイス コンプライアンス要求を信頼できます。 この設定を構成するには、 B2B コラボレーションのテナント間アクセス設定の管理に関する記事を参照してください。
サブスクリプションのライセンス認証
サブスクリプション ライセンス認証機能を使用して、ユーザーが Windows の 1 つのバージョンから別のバージョンに "ステップアップ" できるようにする組織では、ビジネス向け Windows ストア AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f をデバイス コンプライアンス ポリシーから除外できます。
関連するコンテンツ
- Microsoft Intune でコンプライアンス ポリシーを作成する方法について説明します。
- 条件付きアクセス許可の制御について説明します。
- テナント間アクセス設定を構成する方法について説明します。