一般的な条件付きアクセス ポリシー: 承認済みのクライアント アプリまたはアプリ保護ポリシーが必要です

  • [アーティクル]

人々は、個人的な作業と業務上の作業のどちらにもモバイル デバイスを日常的に使用します。 組織は、スタッフの生産性を確保する一方で、完全には管理できないデバイス上のアプリケーションによるデータ損失を防止する必要があります。

条件付きアクセスを使用すると、組織は、Intune アプリ保護ポリシーを備えた承認済み (先進認証対応) クライアント アプリのみにアクセスを制限できます。 アプリ保護ポリシーをサポートしていない場合がある古いクライアント アプリの場合、管理者は承認されたクライアント アプリのみにアクセスを制限できます。

警告

アプリ保護ポリシーは、アプリケーションが特定の要件を満たす iOS および Android でサポートされています。 アプリ保護ポリシーは、プレビュー段階の Windows の Microsoft Edge ブラウザーでのみサポートされています。

一部のアプリケーションは、承認済みアプリケーションとしてサポートされないか、アプリケーション保護ポリシーをサポートしません。 いくつかの共通クライアント アプリの一覧については、アプリ保護ポリシーの要件に関するページを参照してください。 ご使用のアプリケーションがリストされていない場合は、アプリケーション開発者にお問い合わせください。

iOS および Android デバイス用の承認済みクライアント アプリを要求するには、まずそれらのデバイスを Microsoft Entra ID に登録する必要があります。

Note

付与の制御の [選択したコントロールのいずれかが必要] は、 OR 句と似ています。 これは、ポリシー内で使用され、ユーザーが [アプリの保護ポリシーが必要] または [承認済みクライアント アプリを必須にする] のいずれかの付与の制御をサポートするアプリを利用できるようにします。 アプリでその付与の制御がサポートされている場合は、 [アプリの保護ポリシーが必要] が適用されます。

アプリ保護ポリシーを使用するメリットについて詳しくは、「アプリ保護ポリシーの概要」を参照してください。

条件付きアクセス ポリシーを作成する

以下のポリシーはレポート専用モードとなり、管理者が既存のユーザーに与える影響を判断できるようになります。 ポリシーが意図したとおりに適用されると管理者が判断した場合は、オンに切り替えたり、特定のグループを追加し他のグループを除外することでデプロイをステージングしたりすることができます。

モバイル デバイスで承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する

iOS/iPadOS または Android デバイスの使用時は、次の手順を実行すると、承認済みのクライアント アプリまたはアプリ保護ポリシーを必要とする条件付きアクセス ポリシーを作成できます。 このポリシーにより、モバイル デバイスでは、基本認証を使用する Exchange ActiveSync クライアントも使用できなくなります。 このポリシーは、 Microsoft Intune で作成されたアプリ保護ポリシーと連携して機能します。

組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレートを使用するかを選ぶことができます。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. 保護>条件付きアクセス を参照します。
  3. [新しいポリシーの作成] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外][ユーザーとグループ] を選択し、少なくとも 1 つのアカウントを除外して、自身がロックアウトされないようにします。アカウントを除外しない場合、ポリシーを作成することはできません。
  6. [ターゲット リソース]>[クラウド アプリ]>[対象] で、[すべてのクラウド アプリ] を選択します。
  7. [条件]>[デバイス プラットフォーム] で、 [構成][はい] に設定します。
    1. [Include](含める) で、 [デバイス プラットフォーム] を選択します
    2. AndroidiOS を選択します。
    3. [Done] を選択します。
  8. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
    1. [承認済みのクライアント アプリ] および [アプリ保護ポリシーを必須にする] を選択します
    2. 複数のコントロールの場合[選択したコントロールのいずれかが必要] を選択します
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

ヒント

組織は、このポリシーと共に、サポートされていないデバイス プラットフォームまたは不明なデバイス プラットフォームからのアクセスをブロックするポリシーも展開する必要があります。

すべてのデバイスで Exchange ActiveSync をブロックする

このポリシーは、基本認証を使用するすべての Exchange ActiveSync クライアントが Exchange Online に接続するのをブロックします。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. 保護>条件付きアクセス を参照します。
  3. [新しいポリシーの作成] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外][ユーザーとグループ] を選択し、少なくとも 1 つのアカウントを除外して、自身がロックアウトされないようにします。アカウントを除外しない場合、ポリシーを作成することはできません。
    3. [Done] を選択します。
  6. [ターゲット リソース]>[クラウド アプリ]>[対象] で、[アプリを選択] を選択します。
    1. [Office 365 Exchange Online] を選択します。
    2. [選択] を選択します。
  7. [条件]>[クライアント アプリ] で、 [構成][はい] に設定します。
    1. [Exchange ActiveSync クライアント] 以外のすべてのオプションのチェック ボックスをオフにします。
    2. [Done] を選択します。
  8. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
    1. [アプリの保護ポリシーを必須にする] を選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

次の手順

アプリ保護ポリシーの概要

Conditional Access common policies (条件付きアクセスの一般的なポリシー)

条件付きアクセスで承認されたクライアント アプリをアプリケーション保護ポリシーに移行する