条件付きアクセス:条件

管理者は条件付きアクセスポリシー内で、リスク、デバイス プラットフォーム、場所などの条件からのシグナルを利用して、ポリシーの決定を強化できます。

条件付きアクセス ポリシーを定義し、条件を指定する

複数の条件を組み合わせて、きめ細かで具体的な条件付きアクセス ポリシーを作成することができます。

たとえば、機密性の高いアプリケーションにアクセスするときに、管理者は、多要素認証などの他のコントロールに加えて、Identity Protection や場所からのサインイン リスク情報を、アクセスの決定要因の 1 つとして含めることができます。

サインイン リスク

Identity Protection にアクセスできるお客様の場合、条件付きアクセス ポリシーの一部としてサインイン リスクを評価できます。 サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。 サインイン リスクの詳細については、「リスクとは」と「方法:リスク ポリシーを構成して有効にする」を参照してください。

ユーザー リスク

Identity Protection にアクセスできるお客様の場合、条件付きアクセス ポリシーの一部としてユーザー リスクを評価できます。 ユーザー リスクは、特定の ID またはアカウントが侵害されているおそれがあることを表します。 ユーザー リスクの詳細については、「リスクとは」および「方法: リスク ポリシーを構成して有効にする」を参照してください。

デバイス プラットフォーム

デバイス プラットフォームは、デバイスで実行されているオペレーティング システムによって分類されます。 Azure AD では、デバイスによって提供される、ユーザー エージェント文字列などの情報を使用してプラットフォームを識別します。 ユーザー エージェント文字列は変更できるため、この情報は未検証です。 デバイス プラットフォームは、Microsoft Intune デバイス コンプライアンス ポリシーと連携して使用するか、ブロック ステートメントの一部として使用する必要があります。 既定では、すべてのデバイス プラットフォームに適用されます。

Azure AD 条件付きアクセスは、次のデバイス プラットフォームをサポートします。

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

他のクライアント条件を使用してレガシ認証をブロックする場合は、デバイスのプラットフォーム条件も設定できます。

唯一の許可コントロールとして [承認されたクライアント アプリが必要] または [アプリ保護ポリシーが必要] を選択した場合、または [Require all the selected controls](選択したコントロールすべてが必要) を選択した場合、macOS または Linux デバイス プラットフォームの選択はサポートされていません。

重要

Microsoft はサポートされていないデバイス プラットフォームに対して条件付きアクセス ポリシーを設定することをお勧めします。 たとえば、Chrome OS やその他のサポートされていないクライアントから会社のリソースへのアクセスをブロックする 場合は、すべてのデバイスが含まれ、サポートされているデバイス プラットフォームが除外されるデバイス プラットフォームの条件を使用し、アクセスをブロックする制御セットが付与されるポリシーを構成する必要があります。

場所

組織は場所を条件として構成するときに、場所を含めるか除外するかを選択できます。 これらの名前付きの場所には、パブリック IPv4 または IPv6 ネットワーク情報、国、リージョンだけでなく、特定の国やリージョンにマップされていない不明な領域が含まれる場合もあります。 信頼できる場所としてマークできるのは IP 範囲のみです。

任意の場所を含める場合、このオプションには、構成された名前付きの場所ではなく、インターネット上の任意の IP アドレスが含まれます。 任意の場所を選択するときには、管理者は、信頼されているすべての場所または選択した場所を除外することを選択できます。

たとえば、組織によっては、物理的な本社のように、信頼できる場所のネットワークにユーザーが接続されているときは多要素認証を要求しないことを選択する可能性もあります。 管理者は、本社ネットワーク用に選択された場所を除いて、すべての場所を含むポリシーを作成することも可能です。

場所に関する詳細については、「Azure Active Directory 条件付きアクセスの場所の条件の概要」の記事を参照してください。

クライアント アプリ

既定では、新しく作成されたすべての条件付きアクセス ポリシーは、クライアント アプリの条件が構成されていない場合でも、すべてのクライアント アプリの種類に適用されます。

Note

クライアント アプリの条件の動作は、2020 年 8 月に更新されました。 既存の条件付きアクセス ポリシーがある場合、それらは変更されません。 ただし、既存のポリシーをクリックすると、構成の切り替えが削除されており、ポリシーが適用されるクライアント アプリが選択されます。

重要

レガシ認証クライアントからのサインインでは MFA はサポートされず、デバイスの状態情報は Azure AD に渡されないため、条件付きアクセス許可制御によってブロックされます (MFA または準拠デバイスを求められるなど)。 レガシ認証を使用する必要があるアカウントがある場合は、それらのアカウントをポリシーから除外するか、先進認証クライアントにのみ適用するようにポリシーを構成する必要があります。

[構成] は切り替え可能で、[はい] に設定されている場合は、選択されている項目に適用され、[いいえ] に設定されている場合は、レガシ認証クライアントと先進認証クライアントを含むすべてのクライアント アプリに適用されます。 この切り替えは、2020 年 8 月より前に作成されたポリシーには表示されません。

  • 先進認証クライアント
    • Browser
      • これには、SAML、WS-Federation、OpenID Connect、OAuth 機密クライアントとして登録されているサービスなどのプロトコルを使用する Web ベースのアプリケーションが含まれます。
    • モバイル アプリとデスクトップ クライアント
      • このオプションには、Office デスクトップや Phone アプリケーションなどのアプリケーションが含まれます。
  • レガシ認証クライアント
    • Exchange ActiveSync クライアント
      • この選択には Exchange ActiveSync (EAS) プロトコルのすべての使用が含まれます。
      • ポリシーによって Exchange ActiveSync の使用がブロックされると、影響を受けるユーザーには 1 通の検疫電子メールが送信されます。 この電子メールには、ブロックされた理由に関する情報が記載され、可能な場合は修復の手順が含められます。
      • 管理者は、条件付きアクセス Microsoft Graph API を使用して、サポートされているプラットフォーム (iOS、Android、Windows など) にのみポリシーを適用できます。
    • その他のクライアント
      • このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。
        • SMTP - 電子メール メッセージを送信するために POP および IMAP のクライアントで使用されます。
        • 自動検出 - Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。
        • Exchange Online PowerShell - リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証をConnect PowerShell Exchange Onlineする方法」を参照してください
        • Exchange Web サービス (EWS) - Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。
        • IMAP4 - IMAP 電子メール クライアントで使用されます。
        • MAPI over HTTP (MAPI/HTTP) - Outlook 2010 以降で使用されます。
        • オフライン アドレス帳 (OAB) - Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。
        • Outlook Anywhere (RPC over HTTP) - Outlook 2016 以前で使用されます。
        • Outlook サービス - Windows 10 用のメール/カレンダー アプリで使用されます。
        • POP3 - POP 電子メール クライアントで使用されます。
        • レポート Web サービス - Exchange Online でレポート データを取得するために使用されます。

これらの条件がよく使用されるのは、マネージド デバイスを要求する場合、レガシ認証をブロックする場合、Web アプリケーションをブロックするがモバイル アプリやデスクトップ アプリは許可する場合です。

サポートされているブラウザー

この設定は、すべてのブラウザーで動作します。 ただし、デバイス ポリシーを満たすため、準拠デバイスの要件と同様に、次のオペレーティング システムとブラウザーがサポートされています。 メインストリーム サポートから外されたオペレーティング システムとブラウザーは、この一覧に表示されていません。

オペレーティング システム ブラウザー
Windows 10 以上 Microsoft Edge、ChromeFirefox 91 以上
Windows Server 2022 Microsoft Edge、Chrome
Windows Server 2019 Microsoft Edge、Chrome
iOS Microsoft Edge、Safari (注釈を参照)
Android Microsoft Edge、Chrome
macOS Microsoft Edge、Chrome、Safari

これらのブラウザーはデバイス認証をサポートしており、デバイスを識別してポリシーで検証することができます。 ブラウザーがプライベート モードで実行されている場合、または Cookie が無効になっている場合、デバイスのチェックは失敗します。

注意

Edge 85+ の場合、デバイス ID を適切に渡すには、ユーザーがブラウザーにサインインする必要があります。 そうしない場合、アカウントの拡張機能のない Chrome のように動作します。 Hybrid Azure AD Join シナリオでは、このサインインが自動的に行われないことがあります。

Safari はデバイスベースの条件付きアクセスでサポートされていますが、承認済みクライアント アプリを必須にするまたはアプリの保護ポリシーを必須にするの条件を満たすことができません。 Microsoft Edge のような管理対象ブラウザーは、承認済みクライアント アプリとアプリ保護ポリシーの要件を満たしています。 サード パーティ製 MDM ソリューションを使用する iOS では、Microsoft Edge ブラウザーのみがデバイス ポリシーをサポートします。

Firefox 91+ は、デバイスベースの条件付きアクセスでサポートされていますが、[Microsoft、職場、学校のアカウントに対して Windows シングル サインオンを許可する] を有効にする必要があります。

ブラウザーに証明書のプロンプトが表示される理由

Windows 7、iOS、Android、および macOS では、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 ユーザーは、ブラウザーを使用する前に、この証明書を選択する必要があります。

Chrome のサポート

Windows 10 Creators Update (バージョン 1703) 以降で Chrome をサポートするには、Windows Accounts または Office の拡張機能をインストールします。 条件付きアクセス ポリシーでデバイス固有の詳細が必要な場合は、これらの拡張機能が必要です。

Chrome ブラウザーにこの拡張機能を自動的に展開するには、次のレジストリ キーを作成します。

  • パス HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • 名前 1
  • 型 REG_SZ (文字列)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Windows 8.1 および 7 で Chrome をサポートするには、次のレジストリ キーを作成してください。

  • パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • 名前 1
  • 型 REG_SZ (文字列)
  • データ {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

サポートされているモバイル アプリケーションとデスクトップ クライアント

組織は、クライアント アプリとして [モバイル アプリとデスクトップ クライアント] を選択できます。

この設定は、以下のモバイル アプリおよびデスクトップ クライアントからのアクセス試行に影響を与えます。

クライアント アプリ 対象サービス プラットフォーム
Dynamics CRM アプリ Dynamics CRM Windows 10、Windows 8.1、iOS、Android
メール/カレンダー/People アプリ、Outlook 2016、Outlook 2013 (先進認証を使用) Exchange Online Windows 10
アプリ用の MFA と場所のポリシー。 デバイス ベースのポリシーはサポートされていません。 任意のマイ アプリ アプリ サービス Android および iOS
Microsoft Teams Services - このクライアント アプリは Microsoft Teams とそのすべてのクライアント アプリ (Windows デスクトップ、iOS、Android、WP、および Web クライアント) をサポートするすべてのサービスを制御する Microsoft Teams Windows 10、Windows 8.1、Windows 7、iOS、Android、および macOS
Office 2016 アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアント SharePoint Windows 8.1、Windows 7
Office 2016 アプリ、ユニバーサル Office アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアント SharePoint Online Windows 10
Office 2016 (Word、Excel、PowerPoint、OneNote のみ)。 SharePoint macOS
Office 2019 SharePoint Windows 10、macOS
Office モバイル アプリ SharePoint Android、iOS
Office Yammer アプリ Yammer Windows 10、iOS、Android
Outlook 2019 SharePoint Windows 10、macOS
Outlook 2016 (Office for macOS) Exchange Online macOS
Outlook 2016、Outlook 2013 (先進認証を使用)、Skype for Business (先進認証を使用) Exchange Online Windows 8.1、Windows 7
Outlook Mobile アプリ Exchange Online Android、iOS
Power BI アプリ Power BI サービス Windows 10、Windows 8.1、Windows 7、Android、iOS
Skype for Business Exchange Online Android、iOS
Visual Studio Team Services アプリ Visual Studio Team Services Windows 10、Windows 8.1、Windows 7、iOS、Android

Exchange ActiveSync クライアント

  • 組織が Exchange ActiveSync クライアントを選択できるのは、ユーザーまたはグループにポリシーを割り当てるときにだけです。 [すべてのユーザー][すべてのゲストと外部ユーザー]、または [ディレクトリ ロール] を選択すると、すべてのユーザーがポリシーの対象となります。
  • Exchange ActiveSync クライアントに割り当てられるポリシーを作成する場合は、Exchange Online が、そのポリシーに割り当てられる唯一のクラウド アプリケーションである必要があります。
  • 組織は、[デバイス プラットフォーム] の条件を使用して、このポリシーの範囲を特定のプラットフォームに限定することができます。

ポリシーに割り当てられたアクセス制御で、[承認済みクライアント アプリを必須にする] が使用されている場合、ユーザーは Outlook モバイル クライアントをインストールして使用するように指示されます。 多要素認証使用条件、またはカスタム コントロールが必要な場合、基本認証ではこれらのコントロールがサポートされないため、影響を受けるユーザーはブロックされます。

詳細については、次の記事を参照してください。

その他のクライアント

[その他のクライアント] を選択することで、基本認証とメール プロトコル (IMAP、MAPI、POP、SMTP など) を使用するアプリや、先進認証を使用しない以前の Office アプリに影響を及ぼすポリシーを指定できます。

デバイスの状態 (非推奨)

このプレビュー機能は非推奨になりました。 以前にデバイス状態 (非推奨) 条件を使って実現していたシナリオを満たすには、条件付きアクセス ポリシーのデバイスのフィルター条件を使用してください。

デバイス状態の条件を使用して、組織の条件付きアクセス ポリシーから、ハイブリッド Azure AD 参加済みデバイスや、Microsoft Intune コンプライアンス ポリシーに準拠しているとマークが付けられているデバイスを除外しました。

例: Microsoft Azure の管理クラウド アプリにアクセスするすべてのユーザーについて、アクセス制御ブロックのために、すべてのデバイスの状態を含め、ハイブリッド Azure AD 参加済みのデバイスデバイスは準拠としてマーク済みを除外する。

  • この例では、ハイブリッド Azure AD 参加済みデバイスまたは準拠としてマーク済みのデバイスのいずれかから、Microsoft Azure の管理へのアクセスのみを許可するポリシーが作成されます。

上記のシナリオは、device.trustType -ne "ServerAD" -or device.isCompliant -ne True およびアクセス制御ブロックのルールを使用して、デバイスのフィルター条件が除外モードのMicrosoft Azure の管理クラウド アプリにアクセスするすべてのユーザーを使用して構成できます。

  • この例では、アンマネージド デバイスまたは非準拠デバイスから Microsoft Azure Management クラウド アプリへのアクセスをブロックするポリシーを作成します。

重要

デバイス状態とデバイスのフィルターは、条件付きアクセス ポリシーで一緒に使用することはできません。 デバイスのフィルターを使用する方が、trustType および isCompliant プロパティを介して、対象とするデバイス状態情報のサポートも含め、より詳細に対象設定できます。

デバイスのフィルター

条件付きアクセスには、デバイスのフィルターと呼ばれる新しいオプションの条件があります。 組織がデバイスのフィルターを条件として構成する場合、デバイスのプロパティでルール式を使用して、フィルターに基づいてデバイスを含めるか除外するかを選択できます。 デバイスのフィルターのルール式は、ルール ビルダーまたはルール構文を使用して作成できます。 このエクスペリエンスは、グループの動的なメンバーシップの規則に使用されるものと似ています。 詳細については、「条件付きアクセス: デバイスのフィルター」を参照してください。

次のステップ