条件付きアクセス:Grant

条件付きアクセス ポリシー内では、管理者はアクセス コントロールを使用して、リソースへのアクセスを許可またはブロックすることができます。

アクセスのブロック

アクセスをブロックするコントロールでは、条件付きアクセス ポリシーの構成に基づいてすべての割り当てが考慮され、アクセスが防止されます。

アクセスのブロックは強力なコントロールであり、適用するには適切な知識が必要です。 ブロック ステートメントのあるポリシーには予想外の副作用が含まれることがあります。 大規模にコントロールを有効にする前に、適切なテストと検証が不可欠です。 管理者は、変更を行うにあたり、条件付きアクセスのレポート専用モードや条件付きアクセスの What If ツールなどのツールを使う必要があります。

アクセス権の付与

管理者は、アクセス権を付与するときに 1 つ以上のコントロールを適用することを選択できます。 これらのコントロールには、次のオプションがあります。

• 多要素認証 (Azure AD Multifactor Authentication) を必須にする
• 認証強度が必要
• デバイスが準拠としてマーク済みであることを必要とする (Microsoft Intune)
• ハイブリッド Azure AD 参加済みのデバイスを必要とする
• 承認済みクライアント アプリを必須にする
• アプリの保護ポリシーを必須にする
• パスワードの変更を必須にする

これらのオプションを組み合わせることを選ぶ場合、管理者は次の方法を使用できます。

• 選んだコントロールすべてが必要 (コントロール "と" コントロール)
• 選んだコントロールのいずれかが必要 (コントロール "または" コントロール)

条件付きアクセスの既定では、選んだすべてのコントロールが必要です。

多要素認証を要求する

このチェックボックスをオンにした場合、Azure Active Directory (Azure AD) の多要素認証の実行がユーザーに要求されます。 Azure AD Multifactor Authentication のデプロイの詳細については、「クラウド ベースの Azure AD Multifactor Authentication のデプロイの計画」を参照してください。

Windows Hello for Business は、条件付きアクセス ポリシーでの多要素認証の要件を満たしています。

認証強度が必要

管理者は、条件付きアクセス ポリシーで、特定の認証強度を要求することを選択できます。 このような認証強度は、[Azure portal]>[Azure Active Directory]>[セキュリティ]>[認証方法]>[認証強度] で定義されています。 管理者は、独自のバージョンを作成するか、組み込みバージョンを使用するかを選択できます。

デバイスは準拠としてマーク済みである必要がある

Intune をデプロイしている組織では、デバイスから返された情報を使用して、特定のポリシー準拠要件を満たすデバイスを識別することができます。 条件付きアクセスでリソースへのアクセスを許可するかブロックするかを決定できるよう、Intune から Azure AD にポリシー準拠情報がに送信されます。 準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」を参照してください。

デバイスに準拠とマークを付けることができるのは、任意のデバイス オペレーティング システムの場合は Intune、Windows デバイスの場合はサードパーティ製モバイル デバイス管理システムです。 サポートされるサードパーティ製モバイル デバイス管理システムの一覧については、「Intune でサードパーティのデバイス コンプライアンス パートナーをサポートする」を参照してください。

デバイスを準拠としてマークするには、あらかじめそのデバイスが Azure AD に登録されている必要があります。 デバイスの登録の詳細については、「デバイス ID とは」を参照してください。

[デバイスは準拠としてマーク済みである必要があります] コントロール:

• Azure AD と Intune に登録されている Windows 10 以降、iOS、Android、macOS デバイスのみがサポートされています。
• InPrivate モードの Microsoft Edge は非準拠デバイスと見なされます。

Note

Windows、iOS、Android、macOS、および一部のサードパーティ製 Web ブラウザーでは、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに証明書の選択を求められます。 ユーザーは、ブラウザーを使用し続けるには、まずこの証明書を選択する必要があります。

Intune の承認済みクライアント アプリ ポリシーと共に Microsoft Defender for Endpoint アプリを使用して、デバイス コンプライアンス ポリシーを条件付きアクセス ポリシーに設定できます。 条件付きアクセスの設定中に、Microsoft Defender for Endpoint アプリの除外は必要ありません。 Android と iOS 上の Microsoft Defender for Endpoint (アプリ ID dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) は承認されたアプリではありませんが、デバイスのセキュリティ体制を報告するアクセス許可があります。 このアクセス許可により、条件付きアクセスへのコンプライアンス情報のフローが有効になります。

ハイブリッド Azure AD 参加済みのデバイスを必要とする

組織は、条件付きアクセス ポリシーの一部としてデバイス ID を使用することを選択できます。 組織は、このチェックボックスを使用して、デバイスがハイブリッド Azure AD 参加済みであることを必須にすることができます。 デバイス ID の詳細については、「デバイス ID とは」を参照してください。

device-code OAuth フローを使う場合、マネージド デバイスまたはデバイスの状態条件に必要な許可コントロールはサポートされていません。 この理由は、認証を行うデバイスが、コードを提供するデバイスに対してそのデバイスの状態を提供できないからです。 また、トークン内のデバイスの状態は、認証を実行しているデバイスに対してロックされています。 代わりに、[多要素認証を要求する] コントロールを使ってください。

[ハイブリッド Azure AD 参加済みのデバイスが必要] コントロール:

• ドメイン参加済みのダウンレベルの Windows (Windows 10 より前) および最新の Windows (Windows 10+) デバイスのみがサポートされています。
• InPrivate モードの Microsoft Edge をハイブリッド Azure AD 参加済みデバイスと見なしません。

承認済みクライアント アプリを必須にする

組織は、選んだクラウド アプリにアクセスする場合に承認済みクライアント アプリの使用を必須にすることができます。 これらの承認されたクライアント アプリは、モバイル デバイス管理ソリューションには一切依存せずに、Intune アプリ保護ポリシーをサポートします。

この許可コントロールを適用するには、デバイスを Azure AD に登録する必要があります。また、そのためにはブローカー アプリを使う必要があります。 ブローカー アプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft Authenticator または Microsoft ポータル サイトを使用できます。 ユーザーが認証を試みたときにブローカー アプリがデバイスにインストールされていない場合、ユーザーは必要なブローカー アプリをインストールするために、適切な App ストアにリダイレクトされます。

この設定は、次のクライアント アプリでサポートされています。 この一覧は完全なものではなく、変更されることがあります。

• Microsoft Azure Information Protection
• Microsoft Cortana
• Microsoft Dynamics 365
• Microsoft Edge
• Microsoft Excel
• Microsoft Power Automate
• Microsoft Invoicing
• Microsoft Kaizala
• Microsoft Launcher
• Microsoft リスト
• Microsoft Office
• Microsoft OneDrive
• Microsoft OneNote
• Microsoft Outlook
• Microsoft Planner
• Microsoft Power Apps
• Microsoft Power BI
• Microsoft PowerPoint
• Microsoft SharePoint
• Microsoft Skype for Business
• Microsoft Stream
• Microsoft Teams
• Microsoft To-Do
• Microsoft Visio
• Microsoft Word
• Microsoft Yammer
• Microsoft Whiteboard
• Microsoft 365 管理

解説

• 承認されたクライアント アプリは、Intune モバイル アプリケーション管理機能をサポートしています。
• [承認されたクライアント アプリが必要です] 要件:
  • デバイス プラットフォームの条件に関しては、iOS と Android のみがサポートされます。
  • デバイスを登録するにはブローカー アプリが必要です。 ブローカー アプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft Authenticator または Microsoft ポータル サイトを使用できます。
• 条件付きアクセスでは、InPrivate モードの Microsoft Edge を承認されたクライアント アプリと見なすことはできません。
• Microsoft Power BI を承認済みクライアント アプリとして必要とする条件付きアクセス ポリシーでは、Azure AD アプリケーション プロキシを使って Power BI モバイル アプリをオンプレミスの Power BI レポート サーバーに接続することをサポートしていません。

構成例については、「条件付きアクセスを使用してクラウド アプリへのアクセスに承認されたクライアント アプリを要求する」を参照してください。

アプリの保護ポリシーを必須にする

条件付きアクセス ポリシー内で、選択したアプリケーションがアクセスできるようにする前に、クライアント アプリに Intune アプリ保護ポリシーが存在することを要求できます。 これらのモバイル アプリケーション管理 (MAM) アプリ保護ポリシーを使用すると、特定のアプリケーション内で組織のデータを管理および保護できます。

この許可コントロールを適用するために、条件付きアクセスでは、ブローカー アプリの使用を必要とするデバイスを Azure AD に登録する必要があります。 ブローカー アプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft ポータル サイトのいずれかを使用できます。 ユーザーが認証を試みたときにブローカー アプリがデバイスにインストールされていない場合、ユーザーはブローカー アプリをインストールするために、App Store にリダイレクトされます。 アプリ保護ポリシーは、iOS と Android、および Windows 上の Microsoft Edge のパブリック プレビューで一般提供されています。 Windows デバイスは、同じセッションで最大 3 つの Azure AD ユーザー アカウントをサポートします。 Windows デバイスにポリシーを適用する方法の詳細については、「Windows デバイスのアプリ保護ポリシーを要求する (プレビュー)」を参照してください。

アプリケーションは、アプリ保護ポリシーをサポートするための特定の要件を満たしている必要があります。 これらの要件の詳細について、開発者は「アプリ保護ポリシーで管理できるアプリ」セクションを参照してください。

この設定は、次のクライアント アプリでサポートされています。 この一覧は完全なものではなく、変更されることがあります。 アプリがこの一覧にない場合は、アプリケーション ベンダーに問い合わせてサポートを確認してください。

• Adobe Acrobat Reader モバイル アプリ
• iAnnotate for Office 365
• Microsoft Cortana
• Microsoft Edge
• Microsoft Excel
• Microsoft Flow Mobile
• Microsoft Launcher
• Microsoft リスト
• Microsoft Office
• Microsoft OneDrive
• Microsoft OneNote
• Microsoft Outlook
• Microsoft Planner
• Microsoft Power BI
• Microsoft PowerApps
• Microsoft PowerPoint
• Microsoft SharePoint
• Microsoft Stream Mobile Native 2.0
• Microsoft Teams
• Microsoft To Do
• Microsoft Word
• Microsoft Whiteboard サービス
• Microsoft Field Service (Dynamics 365)
• MultiLine for Intune
• Nine Mail - メールとカレンダー
• Notate for Intune
• Provectus - 安全な連絡先
• Yammer (Android、iOS、iPadOS)

注意

Kaizala、Skype for Business、Visio は、[アプリの保護ポリシーが必要] 許可をサポートしていません。 これらのアプリを動作させる必要がある場合は、[承認済みのアプリが必要] 許可を明示的に使用してください。 この 3 つのアプリケーションでは、2 つの許可の間に "or" 句を使用することはできません。

構成例については、「条件付きアクセスを使用して、クラウド アプリへのアクセスにアプリ保護ポリシーと承認済みクライアント アプリの使用を必須にする」を参照してください。

パスワードの変更を必須とする

ユーザー リスクが検出されると、管理者はユーザー リスク ポリシーの条件を採用し、Azure AD セルフサービス パスワード リセットを使って、ユーザーがパスワードを安全に変更できるようにすることができます。 ユーザーは、セルフサービス パスワード リセットを実行して、自己修復を行うことができます。 このプロセスによってユーザー リスク イベントが閉じられるので、管理者に対する不要なアラートを防ぐことができます。

ユーザーにパスワードの変更が求められた場合は、まず多要素認証を完了する必要があります。 アカウントのリスクが検出された場合に備えて、必ずすべてのユーザーを多要素認証に登録してください。

警告

ユーザー リスク ポリシーをトリガーする前に、ユーザーは多要素認証に事前に登録しておく必要があります。

パスワード変更コントロールを使ってポリシーを構成する場合は、次の制限が適用されます。

• ポリシーは、"すべてのクラウド アプリ" に割り当てる必要があります。この要件によって、攻撃者は、別のアプリを使ってユーザーのパスワードを変更し、別のアプリにサインインしてアカウントのリスクをリセットすることができなくなります。
• [パスワードの変更を必須とする] は、準拠デバイスの要求など、他のコントロールと共に使用することができません。
• パスワード変更のコントロールは、ユーザーとグループの割り当て条件、クラウド アプリの割り当て条件 ([すべて] に設定する必要があります)、ユーザー リスク条件でのみ使用できます。

使用条件

組織で利用規約を作成している場合、許可コントロールに他のオプションが表示されることがあります。 これらのオプションを使用すると、ポリシーによって保護されたリソースにアクセスするための条件として、管理者は利用規約への同意を要求することができます。 利用規約の詳細については、「Azure Active Directory の利用規約」を参照してください。

カスタム コントロール (プレビュー)

カスタム コントロールは Azure AD のプレビュー機能です。 カスタム コントロールを使うと、Azure AD とは別の認証要件を満たすために、ユーザーが互換性のあるサービスにリダイレクトされます。 詳細については、「カスタム コントロール」の記事を参照してください。

次のステップ

• 条件付きアクセス:セッション コントロール

• Conditional Access common policies (条件付きアクセスの一般的なポリシー)

• レポート専用モード