デバイス ベースの条件付きアクセス ポリシーを作成する

Microsoft Intune デバイス コンプライアンス ポリシーは、管理対象デバイスの状態を評価して、組織のアプリとサービスへのアクセスを許可する前に、要件を満たしていることを確認できます。 デバイス コンプライアンス ポリシーの状態の結果は、Microsoft Entra 条件付きアクセス ポリシーで使用して、セキュリティとコンプライアンスの標準を適用できます。 この組み合わせは、デバイス ベースの条件付きアクセスと呼ばれます。

ヒント

デバイス ベースの条件付きアクセス ポリシーに加えて、 Intune でアプリベースの条件付きアクセスを使用できます。

Intune 管理センター内から、Microsoft Entra ID にある条件付きアクセス ポリシー UI にアクセスできます。 このアクセスには、Azure portal 内からポリシーを構成する場合に必要なすべての条件付きアクセス オプションが含まれます。 作成するポリシーでは、保護するアプリまたはサービス、アプリまたはサービスにアクセスできる条件、およびポリシーが適用されるユーザーを指定できます。

デバイス ベースの条件付きアクセス ポリシーを作成するには、Microsoft Entra で次のいずれかのアクセス許可をアカウントに付与する必要があります。

• セキュリティ管理者
• 条件付きアクセス管理者

デバイスのコンプライアンス状態を利用するには、条件付きアクセス ポリシーを [デバイスは準拠としてマーク済みである必要がある] に構成します。 このオプションは、次の手順のステップ 6 でアクセス許可を構成するときに設定されます。

重要

条件付きアクセスを設定する前に、特定の要件を満たしているかに基づいてデバイスを評価するため Intune デバイスのコンプライアンス ポリシーを設定する必要があります。 Intune のデバイス コンプライアンス ポリシーの概要をご覧ください。

条件付きアクセス ポリシーを作成する

1. Microsoft Intune 管理センターにサインインします。

2. [ Endpoint security>Conditional access>新しいポリシーを作成する] を選択します。

   [ 新しい ] ウィンドウが開きます。これは Microsoft Entra の構成ウィンドウです。 作成するポリシーは、条件付きアクセスの Microsoft Entra ポリシーです。 このウィンドウと条件付きアクセス ポリシーの詳細については、Microsoft Entra コンテンツの 条件付きアクセス ポリシー コンポーネント に関するページを参照してください。

3. [ 割り当て] で、ポリシーが適用されるディレクトリ内の ID を選択するように ユーザー を構成します。 詳細については、Microsoft Entra ドキュメントの 「ユーザーとグループ 」を参照してください。

   • [含める] タブで、含めるユーザーとグループを構成します。
   • このポリシーから除外するユーザー、ロール、またはグループがある場合は、[除外] タブを使用します。

   ヒント

   より小さなユーザー グループに対してポリシーをテストし、より大きなグループに展開する前に、ポリシーが期待どおりに動作することを確認します。

4. 次に、[割り当て] の下にある [ターゲット リソース] を構成します。 [ このポリシーが適用される内容を選択する ] ドロップダウンを使用して、[ クラウド アプリ] を選択します。

   • [ 含める ] タブで、使用可能なオプションを使用して、この条件付きアクセス ポリシーで保護するアプリとサービスを特定します。

     [アプリの選択] を選択した場合は、使用可能な UI を使用して、このポリシーで保護するアプリとサービスを選択します。

     注意

     自分をロックアウトしないでください。 [すべてのクラウド アプリ] を選択した場合は、必ず警告を確認し、[このポリシーから除外する] を選択し、このポリシーが有効になると、ユーザー アカウントまたは他の関連するユーザーとグループから 、 Azure portal または Microsoft Intune 管理センターを使用するためのアクセス権を保持する必要があります。

   • このポリシーから除外する任意のアプリやサービスがある場合は、除外 タブを使用できます。

   詳細については、Microsoft Entra ドキュメントの クラウド アプリまたはアクション に関するページを参照してください。

5. 次に、 [条件] を構成します。 このポリシーの条件として使用するシグナルを選択します。 オプションは以下のとおりです。

   • ユーザーのリスク
   • サインイン リスク
   • デバイス プラットフォーム
   • 場所
   • クライアント アプリ
   • デバイスのフィルター

   これらのオプションの詳細については、Microsoft Entra ドキュメントの 「条件 」を参照してください。

   ヒント

   先進認証クライアントと Exchange ActiveSync クライアントの両方を保護したい場合、クライアントの種類ごとに 1 つずつ、計 2 つの別個の条件付きアクセス ポリシーを作成します。 Exchange ActiveSync では先進認証をサポートしていますが、Exchange ActiveSync でサポートされる条件はプラットフォームだけです。 多要素認証などのその他の条件は、サポートされていません。 Exchange ActiveSync から Exchange Online へのアクセスを効率よく保護するには、[サポートされているプラットフォームのみにポリシーを適用する] を選択したうえで、クラウド アプリ Microsoft 365 Exchange Online とクライアント アプリ Exchange ActiveSync を指定する条件付きアクセス ポリシーを作成します。

6. [ アクセス制御] で、[ 許可] を構成して 1 つ以上の要件を選択します。 Grant のオプションについては、Microsoft Entra ドキュメントの 「Grant 」を参照してください。

   重要

   このポリシーでデバイスコンプライアンスの状態を使用するには、[ アクセス権の付与] で [ デバイスを準拠としてマークする必要があります] を選択する必要があります。

   • アクセスのブロック: このポリシーで指定されたユーザーは、指定した条件でアプリまたはサービスへのアクセスが拒否されます。

   • アクセス権の付与: このポリシーで指定されたユーザーにはアクセス権が付与されますが、次のいずれかのアクションを必要とすることができます。

     • 多要素認証を要求する
     • 認証強度を要求する
     • デバイスを準拠としてマークする必要がある - このオプションは、ポリシーでデバイスコンプライアンスの状態を使用するために必要です。
     • Microsoft Entra ハイブリッド参加済みデバイスが必要
     • 承認済みクライアント アプリが必要
     • アプリ保護ポリシーが必要
     • パスワードの変更を必須とする

     

7. ポリシーを有効にする で、オン を選択します。 既定では、ポリシーは [レポート専用] に設定されています。

8. [作成] を選択します。

次の手順

• Intune でのアプリ ベースの条件付きアクセス
• Intune の条件付きアクセスの設定のトラブルシューティング