Microsoft Intune と Microsoft Entra 条件付きアクセスを使用して Windows アプリのデバイスセキュリティコンプライアンスを要求する

Microsoft Intune と Microsoft Entra 条件付きアクセスの組み合わせを使用して、ユーザーが Azure Virtual Desktop、Windows 365、および Microsoft Dev Box に接続する前に、ユーザーのデバイスが特定のセキュリティ要件を満たしていることを要求できます。この方法を使用すると、次のシナリオで Windows アプリのセキュリティ要件を適用できます。

デバイスのプラットフォーム	Intune デバイス管理
iOS/iPadOS	マネージドまたはアンマネージド
Android¹	マネージドまたはアンマネージド
Web ブラウザー (Windows 上の Microsoft Edge のみ)	アンマネージドのみ

Chrome OS のサポートは含まれません。

管理対象デバイスと非管理対象デバイスでアプリ保護ポリシーを使用する方法については、「デバイス管理状態に基づくターゲットアプリ保護ポリシー」を参照してください。

適用できるポリシー設定には、PIN の要求、特定のオペレーティングシステムバージョンの要求、サードパーティ製キーボードのブロック、ローカルクライアントデバイス上の他のアプリ間での切り取り、コピー、貼り付けの操作の制限などがあります。使用可能な設定の完全な一覧については、「 iOS アプリ保護ポリシー設定での条件付き起動」および「Android アプリ保護ポリシー設定での条件付き起動」を参照してください。

セキュリティ要件を設定したら、iOS/iPadOS および Android デバイスで、カメラ、マイク、ストレージ、クリップボードなどのローカルリソースがリモートセッションにリダイレクトされるかどうかを管理することもできます。ローカルデバイスのセキュリティコンプライアンスを要求することは、ローカルデバイスのリダイレクト設定を管理するための前提条件です。ローカルデバイスリダイレクト設定の管理の詳細については、「 Microsoft Intune でローカルデバイスリダイレクト設定を管理する」を参照してください。

大まかに言えば、構成する領域は 2 つあります。

Intune アプリ保護ポリシー: アプリケーションとローカルクライアントデバイスが満たす必要があるセキュリティ要件を指定するために使用されます。フィルターを使用して、特定の条件に基づいてユーザーをターゲットにすることができます。
条件付きアクセスポリシー: アプリ保護ポリシーで設定された条件が満たされている場合にのみ、Azure Virtual Desktop と Windows 365 へのアクセスを制御するために使用されます。

前提条件

Intune と条件付きアクセスを使用してローカルクライアントデバイスのセキュリティコンプライアンスを要求するには、次のものが必要です。

セッションホストまたはクラウド PC を使用した既存のホストプール。
ポリシーを適用するユーザーを含む少なくとも 1 つの Microsoft Entra ID セキュリティグループ。
管理対象デバイスの場合のみ、Intune に使用する次の各アプリを追加する必要があります。
- iOS/iPadOS 上の Windows アプリについては、「 Microsoft Intune に iOS ストアアプリを追加する」を参照してください。
- Windows 上の Microsoft Edge については、「 Microsoft Edge for Windows 10/11 を Microsoft Intune に追加する」を参照してください。
次のいずれかのバージョンの Windows アプリを実行しているか、Microsoft Edge で Windows アプリを使用しているローカルクライアントデバイス。
- Windows アプリ:
  - iOS/iPadOS: 11.1.1 以降。
  - Android 1.0.0.161 以降。
- Windows 上の Microsoft Edge: 134.0.3124.51 以降。
また、ローカルクライアントデバイスには、次の最新バージョンが必要です。
- iOS/iPadOS: Microsoft Authenticator アプリ
- Android: 個人用デバイスの Windows App と同じプロファイル内にインストールされたポータルサイトアプリ。個人プロファイルまたは仕事用プロファイルのいずれかに両方のアプリが含まれている必要があり、それぞれが別のプロファイルに含まれていてはなりません。
アプリ保護ポリシーと条件付きアクセスポリシーを構成するための Intune の前提条件は他にもあります。詳細については、以下を参照してください。
- アプリ保護ポリシーを作成して割り当てる方法。
- Intune を使用してアプリベースの条件付きアクセスポリシーを使用する。

フィルターを作成する

フィルターを作成することで、フィルターで設定された条件が一致する場合にのみポリシー設定を適用でき、ポリシーの割り当てスコープを絞り込むことができます。 Windows アプリでは、次のフィルターを使用できます。

iOS/iPadOS:
- アンマネージドデバイスとマネージドデバイス用のマネージドアプリフィルターを作成します。
- マネージドデバイスのマネージドデバイスフィルターを作成します。
アンドロイド：
- アンマネージドデバイスとマネージドデバイス用のマネージドアプリフィルターを作成します。
Windows: フィルターは、Windows 上の Microsoft Edge には適用されません。

フィルターを使用して、ポリシーの割り当てスコープを絞り込みます。フィルターの作成は省略可能です。フィルターを構成しない場合は、管理対象デバイスと非管理対象デバイスのどちらにあるかに関係なく、同じデバイスセキュリティコンプライアンスとデバイスリダイレクト設定がユーザーに適用されます。フィルターで指定するものは、要件によって異なります。

フィルターとその作成方法については、「Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」とマネージドアプリフィルターのプロパティに関する記事を参照してください。

アプリ保護ポリシーを作成する

アプリ保護ポリシーを使用すると、アプリとデバイスがデータにアクセスして共有する方法を制御できます。 Windows では、iOS/iPadOS、Android、Microsoft Edge 用のアプリ保護ポリシーを個別に作成する必要があります。管理対象デバイスとアンマネージドデバイスに基づいてポリシーターゲットを構成できないため、iOS/iPadOS と Android の両方を同じアプリ保護ポリシーで構成しないでください。

関連するタブを選択します。

アプリ保護ポリシーを作成して適用するには、「アプリ保護ポリシーを作成して割り当てる方法」の手順に従い、次の設定を使用します。

iOS/iPadOS 用のアプリ保護ポリシーを作成します。
[ アプリ ] タブで、[ パブリックアプリの選択] を選択し、[ Windows アプリ] を検索して選択し、[選択] を 選択します。

[ データ保護 ] タブでは、次の設定のみが Windows アプリに関連します。その他の設定は、Windows アプリがセッションホストとやり取りし、アプリ内のデータと対話しないため、適用されません。モバイルデバイスでは、未承認のキーボードがキーストロークのログと盗難の原因になります。

次の設定を構成できます。

パラメーター	値/説明
データ転送
組織データを他のアプリに送信する	画面キャプチャ保護を有効にするには、[なし] に設定します。 Azure Virtual Desktop での画面キャプチャ保護の詳細については、「Azure Virtual Desktop で画面キャプチャ保護を有効にする」を参照してください。
他のアプリ間での切り取り、コピー、貼り付けの制限	[ ブロック] に設定すると、Windows アプリとローカルデバイス間のクリップボードリダイレクトが無効になります。アプリ構成ポリシーでクリップボードリダイレクトを無効にして使用します。
サードパーティ製キーボード	サードパーティ製のキーボードをブロックするには、[ ブロック] に設定します。

[条件付き起動] タブで、次の条件を追加することをお勧めします。

条件	条件タイプ	価値	アクション
アプリの最小バージョン	アプリの条件	あなたの要件に基づいて。 iOS/iPadOS の Windows アプリのバージョン番号を入力する	アクセスをブロック
OS の最小バージョン	デバイスの状態	あなたの要件に基づいて。	アクセスをブロック
主要なMTDサービス	デバイスの状態	あなたの要件に基づいて。 MTD コネクタを設定する必要があります。 Microsoft Defender for Endpoint の場合は、Intune で Microsoft Defender for Endpoint を構成します。	アクセスをブロック
許容される最大デバイス脅威レベル	デバイスの状態	セキュリティ保護	アクセスをブロック

使用可能な設定の詳細については、「 iOS アプリ保護ポリシー設定での条件付き起動」を参照してください。

[ 割り当て ] タブで、ポリシーを適用するユーザーを含むセキュリティグループにポリシーを割り当てます。ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。グループごとに、必要に応じてフィルターを選択して、アプリ構成ポリシーの対象をより明確にできます。

アプリ保護ポリシーを作成して適用するには、「アプリ保護ポリシーを作成して割り当てる方法」の手順に従い、次の設定を使用します。

Android 用のアプリ保護ポリシーを作成します。
[ アプリ ] タブで、[ パブリックアプリの選択] を選択し、[ Windows アプリ] を検索して選択し、[選択] を 選択します。

次の設定を構成できます。

パラメーター	値/説明
データ転送
他のアプリ間での切り取り、コピー、貼り付けの制限	[ ブロック] に設定すると、Windows アプリとローカルデバイス間のクリップボードリダイレクトが無効になります。アプリ構成ポリシーでクリップボードリダイレクトを無効にして使用します。
スクリーンキャプチャと Google アシスタント	[ ブロック ] に設定すると、画面キャプチャの保護と Google アシスタントがブロックされます。 Azure Virtual Desktop での画面キャプチャ保護の詳細については、「Azure Virtual Desktop で画面キャプチャ保護を有効にする」を参照してください。
承認済みキーボード	リストから承認するか、カスタムエントリを追加するようにキーボードを設定します。

[条件付き起動] タブで、次の条件を追加することをお勧めします。

条件	条件タイプ	価値	アクション
アプリの最小バージョン	アプリの条件	あなたの要件に基づいて。 Android 上の Windows アプリのバージョン番号を入力します。	アクセスをブロック
OS の最小バージョン	デバイスの状態	あなたの要件に基づいて。	アクセスをブロック
主要なMTDサービス	デバイスの状態	あなたの要件に基づいて。 MTD コネクタを設定する必要があります。 Microsoft Defender for Endpoint の場合は、Intune で Microsoft Defender for Endpoint を構成します。	アクセスをブロック
許容される最大デバイス脅威レベル	デバイスの状態	セキュリティ保護	アクセスをブロック

使用可能な設定の詳細については、「 Android アプリ保護ポリシー設定での条件付き起動」を参照してください。

[ 割り当て ] タブで、ポリシーを適用するユーザーを含むセキュリティグループにポリシーを割り当てます。ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。グループごとに、必要に応じてフィルターを選択して、アプリ構成ポリシーの対象をより明確にできます。

Windows 上の Microsoft Edge のアプリ保護ポリシーを作成して適用するには:

Microsoft Intune 管理センターにサインインします。
[ アプリ] を選択し、[ アプリの管理] で [ 保護] を選択します。
[作成] を選択し、[Windows] を選択します。 [ポリシーの作成] ウィンドウが表示されます。
[基本] タブで次の情報を入力します。

パラメーター値/説明

名前このアプリ保護ポリシーの名前を入力します。

説明任意で説明を入力します。

このタブを完了したら、[ 次へ] を選択します。
[ アプリ ] タブで、[ アプリの選択] を選択します。開いたウィンドウで、 Microsoft Edge を検索して選択し、[選択] を 選択します。選択したアプリの一覧に Microsoft Edge が表示されたら、[ 次へ] を選択します。

パラメーター	値/説明
名前	このアプリ保護ポリシーの名前を入力します。
説明	任意で説明を入力します。

[ データ保護 ] タブで、次の設定を構成できます。

パラメーター	値/説明
データ転送
からデータを受信する	[ ソースなし ] に設定すると、Windows アプリからのドライブリダイレクトが無効になります。また、[ 組織データの送信先] も構成する必要があります。
組織データの送信先	Windows アプリへのドライブリダイレクトを無効にするには、[ 宛先なし ] に設定します。さらに、[送信元] を構成必要があります。
データの切り取り、コピー、貼り付けを許可する	[ 宛先またはソースなし ] に設定すると、Windows アプリとローカルデバイス間のクリップボードリダイレクトが無効になります。
機能
組織データを印刷する	Windows アプリからの印刷を禁止するには[ ブロック] に設定します。

注

このシナリオでは、ネイティブにインストールされているバージョンの Windows アプリの使用とは異なるアプリ保護ポリシーを使用して、Microsoft Edge を使用して Web ブラウザーで Windows アプリを対象とします。

ドライブのリダイレクトを許可したり、印刷をブロックしたりすることはできません。 Web ベースのリモートセッションからの印刷は、データ転送設定に依存します。他の方法を使用して、Azure Virtual Desktop ホストプールの設定や、ローカルデバイスではなくセッションホストまたはクラウド PC の構成など、印刷をブロックできます。または、ネイティブにインストールされているバージョンの Windows アプリのいずれかを使用します。詳細については、「リモートデスクトッププロトコルを使用したプリンターリダイレクトの構成」を参照してください。
ドライブのリダイレクトをブロックし、印刷を許可することができます。

[ 正常性チェック ] タブで、次の条件を追加することをお勧めします。

条件	条件タイプ	価値	アクション
アプリの最小バージョン	アプリの条件	あなたの要件に基づいて。 Microsoft Edge のバージョン番号を入力します。サポートされている最も古いバージョンは 134.0.3124.51 です。	アクセスをブロック
OS の最小バージョン	デバイスの状態	あなたの要件に基づいて。 Windows のビルド番号を、 `major.minor`、 `major.minor.build`、 `major.minor.build.revision`のいずれかの形式で入力します (例: 10.0.26100.3476)。 Windows ビルド番号は、Windows リリースの正常性で、各オペレーティングシステムのリリース情報のリンクを選択すると確認できます。	アクセスをブロック
許容される最大デバイス脅威レベル	デバイスの状態	セキュリティ保護	アクセスをブロック

使用可能な設定の詳細については、「 Windows のアプリ保護ポリシー設定の正常性チェック」を参照してください。

[ 割り当て ] タブで、ポリシーを適用するユーザーを含むセキュリティグループにポリシーを割り当てます。ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。グループごとに、必要に応じてフィルターを選択して、アプリ構成ポリシーの対象をより明確にできます。

条件付きアクセスポリシーを作成する

条件付きアクセスポリシーを使用すると、接続しているユーザーと使用しているデバイスの特定の条件に基づいて、Azure Virtual Desktop、Windows 365、Microsoft Dev Box へのアクセスを制御できます。要件に基づいて詳細なシナリオを実現するために、複数の条件付きアクセスポリシーを作成することをお勧めします。ポリシーの例を次のセクションに示します。

重要

ユーザーが使用できるようにするクラウドサービス、デバイス、および Windows アプリのバージョンの範囲を慎重に検討してください。これらの条件付きアクセスポリシーの例では、すべてのシナリオがカバーされるわけではありません。また、アクセスを誤ってブロックしないように注意する必要があります。ポリシーを作成し、要件に基づいて設定を調整する必要があります。

条件付きアクセスポリシーを作成して適用するには、「 Intune でアプリベースの条件付きアクセスポリシーを設定する」の手順に従い、次の例の情報と設定を使用します。

例 1: Windows アプリでアプリ保護ポリシーが適用されている場合にのみアクセスを許可する

この例では、Windows アプリでアプリ保護ポリシーが適用されている場合にのみアクセスを許可します。

[割り当て] の [ユーザーまたはワークロード ID] で、選択した 0 人のユーザーまたはワークロード ID を選択し、ポリシーを適用するユーザーを含むセキュリティグループを含めます。ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。

[ターゲットリソース] で、ポリシーをリソースに適用することを選択し、[含める] で [リソースの選択] を選択します。次のリソースを検索して選択します。これらのリソースは、テナントに関連するサービスを登録した場合にのみ使用できます。

リソース名	アプリケーション識別子	注記
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	代わりに Windows Virtual Desktop と呼ばれる場合があります。アプリケーション ID を使用して確認します。
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Microsoft Dev Box にも適用されます。
Windows クラウドログイン	270efc09-cd0d-444b-a71f-39af4910ec45	他のサービスのいずれかが登録されると利用できます。

[条件] について、次のようにします。
- [ デバイスプラットフォーム] を選択し、[ 構成] で [ はい] を選択し、[ 含める] で [ デバイスプラットフォームの選択 ] を選択し、 iOS と Android をオンにします。
- [ クライアントアプリ] を選択し、[ 構成] で [はい] を選択し、[ ブラウザー と モバイルアプリとデスクトップクライアント] をオンにします。
[アクセス制御] の [アクセスの許可] で、選択した 0 個のコントロールを選択し、[アプリ保護ポリシーを要求する] チェックボックスをオンにし、[選択したすべてのコントロールを要求する] のラジオボタンを選択します。
[ポリシーを有効にする] は、[オン] に設定します。

例 2: Windows デバイスのアプリ保護ポリシーを要求する

この例では、Web ブラウザーでのみ Windows アプリを使用してリモートセッションにアクセスするために Microsoft Edge を使用するように、管理されていない個人用 Windows デバイスを制限します。このシナリオの詳細については、「 Windows デバイスのアプリ保護ポリシーを要求する」を参照してください。

[割り当て] の [ユーザーまたはワークロード ID] で、選択した 0 人のユーザーまたはワークロード ID を選択し、ポリシーを適用するユーザーを含むセキュリティグループを含めます。ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。

リソース名	アプリケーション識別子	注記
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	代わりに Windows Virtual Desktop と呼ばれる場合があります。アプリケーション ID を使用して確認します。
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Microsoft Dev Box にも適用されます。
Windows クラウドログイン	270efc09-cd0d-444b-a71f-39af4910ec45	他のサービスのいずれかが登録されると利用できます。

[条件] について、次のようにします。
- [ デバイスプラットフォーム] を選択し、[ 構成] で [ はい] を選択し、[ 含める] で [ デバイスプラットフォームの選択 ] を選択し、[ Windows] をオンにします。
- [ クライアントアプリ] を選択し、[ 構成] で [ はい] を選択し、[ブラウザー] をオン にします。
アクセス制御の場合は、[アクセス権の付与] を選択し、[アプリ保護ポリシーを要求する] チェックボックスをオンにし、[選択したコントロールのいずれかを要求する] のラジオボタンを選択します。
[ポリシーを有効にする] は、[オン] に設定します。

構成を確認する

Intune と条件付きアクセスを構成して、個人のデバイスでデバイスのセキュリティコンプライアンスを要求したら、リモートセッションに接続して構成を確認できます。テストする必要がある内容は、登録済みデバイスまたは登録解除済みデバイスに適用するようにポリシーを構成したかどうか、どのプラットフォーム、および設定したデータ保護設定によって異なります。実行可能なアクションが想定どおりであることを確認してください。

Microsoft Intune を使用してローカルデバイスのリダイレクト設定を管理する

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-04-17

次の方法で共有

Microsoft Intune と Microsoft Entra 条件付きアクセスを使用して Windows アプリのデバイス セキュリティ コンプライアンスを要求する