条件付きアクセス:条件
管理者は条件付きアクセスポリシー内で、リスク、デバイス プラットフォーム、場所などの条件からのシグナルを利用して、ポリシーの決定を強化できます。
複数の条件を組み合わせて、きめ細かで具体的な条件付きアクセス ポリシーを作成することができます。
ユーザーが機密性の高いアプリケーションにアクセスするときに、管理者は次に示すような複数の条件をアクセスの判断に取り込む場合があります。
- Identity Protection からのサインイン リスク情報
- ネットワークの場所
- デバイス情報
サインイン リスク
Identity Protection にアクセスできる管理者は条件付きアクセス ポリシーの一部としてサインイン リスクを評価できます。 サインイン リスクとは、特定の認証要求がその ID の所有者によってなされたものではない可能性を表します。 サインイン リスクの詳細については、「リスクとは」と「方法:リスク ポリシーを構成して有効にする」を参照してください。
ユーザー リスク
Identity Protection にアクセスできる管理者は条件付きアクセス ポリシーの一部としてユーザー リスクを評価できます。 ユーザー リスクは、特定の ID またはアカウントが侵害されているおそれがあることを表します。 ユーザー リスクの詳細については、「リスクとは」および「方法: リスク ポリシーを構成して有効にする」を参照してください。
デバイス プラットフォーム
条件付きアクセスは、ユーザー エージェント文字列などのデバイスによって提供される情報を使用してデバイス プラットフォームを識別します。 ユーザー エージェント文字列は変更できるため、この情報は未検証です。 デバイス プラットフォームは、Microsoft Intune デバイス コンプライアンス ポリシーと連携して使用するか、ブロック ステートメントの一部として使用する必要があります。 既定では、すべてのデバイス プラットフォームに適用されます。
条件付きアクセスでは、次のデバイス プラットフォームがサポートされています。
- Android
- iOS
- Windows
- macOS
- Linux
他のクライアント条件を使用してレガシ認証をブロックする場合は、デバイスのプラットフォーム条件も設定できます。
唯一の許可コントロールとして [承認されたクライアント アプリが必要] または [アプリ保護ポリシーが必要] を選択した場合、または [Require all the selected controls](選択したコントロールすべてが必要) を選択した場合、macOS または Linux デバイス プラットフォームの選択はサポートされていません。
重要
Microsoft はサポートされていないデバイス プラットフォームに対して条件付きアクセス ポリシーを設定することをお勧めします。 たとえば、Chrome OS やその他のサポートされていないクライアントから会社のリソースへのアクセスをブロックする 場合は、すべてのデバイスが含まれ、サポートされているデバイス プラットフォームが除外されるデバイス プラットフォームの条件を使用し、アクセスをブロックする制御セットが付与されるポリシーを構成する必要があります。
場所
管理者は場所を条件として構成するときに、場所を含めるか除外するかを選択できます。 これらの名前付きの場所には、IPv4 または IPv6 のパブリック ネットワーク情報、国またはリージョン、特定の国やリージョンにマップされていない不明な領域、Global Secure Access の準拠ネットワークを含めることができます。
任意の場所を含める場合、このオプションには、構成された名前付きの場所ではなく、インターネット上の任意の IP アドレスが含まれます。 管理者は任意の場所を選択する場合、信頼されているすべての場所または選択した場所を除外することを選択できます。
管理者は、特定の場所を対象とするポリシーを他の条件と共に作成できます。 場所に関する詳細については、「Azure Active Directory 条件付きアクセスの場所の条件の概要」の記事を参照してください。
クライアント アプリ
既定では、新しく作成されたすべての条件付きアクセス ポリシーは、クライアント アプリの条件が構成されていない場合でも、すべてのクライアント アプリの種類に適用されます。
Note
クライアント アプリの条件の動作は、2020 年 8 月に更新されました。 既存の条件付きアクセス ポリシーがある場合、それらは変更されません。 ただし、既存のポリシーをクリックすると、構成の切り替えが削除されており、ポリシーが適用されるクライアント アプリが選択されます。
重要
レガシ認証クライアントからのサインインは多要素認証 (MFA) をサポートしておらず、デバイスの状態の情報を渡さないため、MFA や準拠デバイスの要求などの条件付きアクセス許可制御によってブロックされます。 レガシ認証を使用する必要があるアカウントがある場合は、それらのアカウントをポリシーから除外するか、先進認証クライアントにのみ適用するようにポリシーを構成する必要があります。
[構成] は切り替え可能で、[はい] に設定されている場合は、選択されている項目に適用され、[いいえ] に設定されている場合は、レガシ認証クライアントと先進認証クライアントを含むすべてのクライアント アプリに適用されます。 この切り替えは、2020 年 8 月より前に作成されたポリシーには表示されません。
- 先進認証クライアント
- Browser
- これには、SAML、WS-Federation、OpenID Connect、OAuth 機密クライアントとして登録されているサービスなどのプロトコルを使用する Web ベースのアプリケーションが含まれます。
- モバイル アプリとデスクトップ クライアント
- このオプションには、Office デスクトップや Phone アプリケーションなどのアプリケーションが含まれます。
- Browser
- レガシ認証クライアント
- Exchange ActiveSync クライアント
- この選択には Exchange ActiveSync (EAS) プロトコルのすべての使用が含まれます。
- ポリシーによって Exchange ActiveSync の使用がブロックされると、影響を受けるユーザーは 1 通の検査メールを受信します。 この電子メールには、ブロックされた理由に関する情報が記載され、可能な場合は修復の手順が含められます。
- 管理者は、条件付きアクセス Microsoft Graph API を使用して、サポートされているプラットフォーム (iOS、Android、Windows など) にのみポリシーを適用できます。
- その他のクライアント
- このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。
- SMTP - 電子メール メッセージを送信するために POP および IMAP のクライアントで使用されます。
- 自動検出 - Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。
- Exchange Online PowerShell - リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証をConnect PowerShell Exchange Onlineする方法」を参照してください。
- Exchange Web サービス (EWS) - Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。
- IMAP4 - IMAP 電子メール クライアントで使用されます。
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 以降で使用されます。
- オフライン アドレス帳 (OAB) - Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。
- Outlook Anywhere (RPC over HTTP) - Outlook 2016 以前で使用されます。
- Outlook サービス - Windows 10 用のメール/カレンダー アプリで使用されます。
- POP3 - POP 電子メール クライアントで使用されます。
- レポート Web サービス - Exchange Online でレポート データを取得するために使用されます。
- このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。
- Exchange ActiveSync クライアント
これらの条件は、次の場合に一般的に使用されます。
- マネージド デバイスを要求する
- レガシ認証をブロックする
- Web アプリケーションをブロックし、モバイル アプリまたはデスクトップ アプリを許可する
サポートされているブラウザー
この設定は、すべてのブラウザーで動作します。 ただし、デバイス ポリシーを満たすため、準拠デバイスの要件と同様に、次のオペレーティング システムとブラウザーがサポートされています。 メインストリーム サポートから外されたオペレーティング システムとブラウザーは、この一覧に表示されていません。
| オペレーティング システム | ブラウザー |
|---|---|
| Windows 10 以上 | Microsoft Edge、Chrome、Firefox 91 以上 |
| Windows Server 2022 | Microsoft Edge、Chrome |
| Windows Server 2019 | Microsoft Edge、Chrome |
| iOS | Microsoft Edge、Safari (注釈を参照) |
| Android | Microsoft Edge、Chrome |
| macOS | Microsoft Edge、Chrome、Safari |
| Linux Desktop | Microsoft Edge |
これらのブラウザーはデバイス認証をサポートしており、デバイスを識別してポリシーで検証することができます。 ブラウザーがプライベート モードで実行されている場合、または Cookie が無効になっている場合、デバイスのチェックは失敗します。
Note
Edge 85+ の場合、デバイス ID を適切に渡すには、ユーザーがブラウザーにサインインする必要があります。 そうしない場合、アカウントの拡張機能のない Chrome のように動作します。 ハイブリッド デバイス参加シナリオでは、このサインインが自動的に行われないことがあります。
Safari はマネージド デバイスにおいてデバイスベースの条件付きアクセスでサポートされていますが、承認済みクライアント アプリを必須にするまたはアプリの保護ポリシーを必須にする条件を満たすことができません。 Microsoft Edge のような管理対象ブラウザーは、承認済みクライアント アプリとアプリ保護ポリシーの要件を満たしています。 サード パーティ製 MDM ソリューションを使用する iOS では、Microsoft Edge ブラウザーのみがデバイス ポリシーをサポートします。
Firefox 91+ は、デバイスベースの条件付きアクセスでサポートされていますが、[Microsoft、職場、学校のアカウントに対して Windows シングル サインオンを許可する] を有効にする必要があります。
ブラウザーに証明書のプロンプトが表示される理由
Windows 7 では、iOS、Android、macOS デバイスはクライアント証明書を使用して識別されます。 この証明書は、デバイスが登録されるときにプロビジョニングされます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 ユーザーは、ブラウザーを使用する前に、この証明書を選択する必要があります。
Chrome のサポート
Windows 10 Creators Update (バージョン 1703) 以降で Chrome をサポートするには、Windows Accounts または Office の拡張機能をインストールします。 条件付きアクセス ポリシーでデバイス固有の詳細が必要な場合は、これらの拡張機能が必要です。
Chrome ブラウザーにこの拡張機能を自動的に展開するには、次のレジストリ キーを作成します。
- パス HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- 名前 1
- 型 REG_SZ (文字列)
- Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Windows 8.1 および 7 で Chrome をサポートするには、次のレジストリ キーを作成してください。
- パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- 名前 1
- 型 REG_SZ (文字列)
- データ {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
サポートされているモバイル アプリケーションとデスクトップ クライアント
管理者は、クライアント アプリとしてモバイル アプリとデスクトップ クライアントを選択できます。
この設定は、以下のモバイル アプリおよびデスクトップ クライアントから行われるアクセスの試行に影響を与えます。
| クライアント アプリ | 対象サービス | プラットフォーム |
|---|---|---|
| Dynamics CRM アプリ | Dynamics CRM | Windows 10、Windows 8.1、iOS、Android |
| メール/カレンダー/People アプリ、Outlook 2016、Outlook 2013 (先進認証を使用) | Exchange Online | Windows 10 |
| アプリ用の MFA と場所のポリシー。 デバイス ベースのポリシーはサポートされていません。 | 任意のマイ アプリ アプリ サービス | Android および iOS |
| Microsoft Teams Services - このクライアント アプリは Microsoft Teams とそのすべてのクライアント アプリ (Windows デスクトップ、iOS、Android、WP、および Web クライアント) をサポートするすべてのサービスを制御する | Microsoft Teams | Windows 10、Windows 8.1、Windows 7、iOS、Android、および macOS |
| Office 2016 アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアント | SharePoint | Windows 8.1、Windows 7 |
| Office 2016 アプリ、ユニバーサル Office アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアント | SharePoint Online | Windows 10 |
| Office 2016 (Word、Excel、PowerPoint、OneNote のみ)。 | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10、macOS |
| Office モバイル アプリ | SharePoint | Android、iOS |
| Office Yammer アプリ | Yammer | Windows 10、iOS、Android |
| Outlook 2019 | SharePoint | Windows 10、macOS |
| Outlook 2016 (Office for macOS) | Exchange Online | macOS |
| Outlook 2016、Outlook 2013 (先進認証を使用)、Skype for Business (先進認証を使用) | Exchange Online | Windows 8.1、Windows 7 |
| Outlook Mobile アプリ | Exchange Online | Android、iOS |
| Power BI アプリ | Power BI サービス | Windows 10、Windows 8.1、Windows 7、Android、iOS |
| Skype for Business | Exchange Online | Android、iOS |
| Azure DevOps Services (旧称 Visual Studio Team Services、または VSTS) アプリ | Azure DevOps Services (旧称 Visual Studio Team Services、または VSTS) | Windows 10、Windows 8.1、Windows 7、iOS、Android |
Exchange ActiveSync クライアント
- 管理者はユーザーまたはグループにポリシーを割り当てるときに Exchange ActiveSync クライアントしか選択できません。 すべてのユーザー、すべてのゲストと外部ユーザー、またはディレクトリ ロールを選択すると、すべてのユーザーがポリシーの対象となります。
- 管理者が Exchange ActiveSync クライアントに割り当てられるポリシーを作成する場合は、Exchange Online が、そのポリシーに割り当てられる唯一のクラウド アプリケーションである必要があります。
- 管理者は、デバイス プラットフォーム条件を使用して、このポリシーの範囲を特定のプラットフォームに限定することができます。
ポリシーに割り当てられたアクセス制御で、[承認済みクライアント アプリを必須にする] が使用されている場合、ユーザーは Outlook モバイル クライアントをインストールして使用するように指示されます。 多要素認証、使用条件、またはカスタム コントロールが必要な場合、基本認証ではこれらのコントロールがサポートされないため、影響を受けるユーザーはブロックされます。
詳細については、次の記事を参照してください。
- 条件付きアクセスを使用してレガシ認証をブロックすることに関する記事
- 条件付きアクセスを使用して承認済みクライアント アプリを必須にすることに関する記事
その他のクライアント
[その他のクライアント] を選択することで、基本認証とメール プロトコル (IMAP、MAPI、POP、SMTP など) を使用するアプリや、先進認証を使用しない以前の Office アプリに影響を及ぼすポリシーを指定できます。
デバイスの状態 (非推奨)
この機能は非推奨になりました。 以前はデバイスの状態条件を使って実現していたシナリオに対応するために、顧客は条件付きアクセス ポリシーのデバイスのフィルター条件を使用する必要があります。
重要
デバイス状態とデバイスのフィルターは、条件付きアクセス ポリシーで一緒に使用することはできません。 デバイスのフィルターを使用する方が、trustType および isCompliant プロパティを介して、対象とするデバイス状態情報のサポートも含め、より詳細に対象設定できます。
デバイスのフィルター
管理者がデバイスのフィルターを条件として構成すると、デバイスのプロパティについてのルール式を使用するフィルターに基づいてデバイスを含めるか除外するかを選択できます。 デバイスのフィルターのルール式は、ルール ビルダーまたはルール構文を使用して作成できます。 このエクスペリエンスは、グループの動的なメンバーシップの規則に使用されるものと似ています。 詳細については、「条件付きアクセス: デバイスのフィルター」を参照してください。