一般的な条件付きアクセス ポリシー: 管理者に対して、準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスを必須とします。
管理者権限が割り当てられているアカウントは、攻撃者の標的になります。 これらの高い特権を持つユーザーに対して、準拠または Microsoft Entra ハイブリッド参加済みとしてマークされたデバイスからアクションを実行することを必須にする、露出の可能性を制限できます。
デバイスの準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」という記事を参照してください。
Microsoft Entra ハイブリッド参加済みデバイスを要求できるかどうかは、デバイスが既に Microsoft Entra ハイブリッドに参加しているかどうかによって決まります。 詳細については、「Microsoft Entra ハイブリッド参加を構成する」を参照してください。
Microsoft では、ID スコアのレコメンデーションに基づいて、少なくとも以下のロールに対してこのポリシーの有効化を必須にすることを推奨しています。
- 全体管理者
- アプリケーション管理者
- 認証管理者
- 課金管理者
- クラウド アプリケーション管理者
- 条件付きアクセス管理者
- Exchange 管理者
- ヘルプデスク管理者
- パスワード管理者
- 特権認証管理者
- 特権ロール管理者
- セキュリティ管理者
- SharePoint 管理者
- ユーザー管理者
組織では、ニーズに応じてロールを含めるか除外するかを選択できます。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- 緊急アクセス用アカウントまたは非常用アカウント。テナント全体でアカウントがロックアウトされるのを防ぎます。 発生する可能性は低いシナリオですが、すべての管理者がテナントからロックアウトされた場合に、ご自身の緊急アクセス用管理アカウントを使用してテナントにログインし、アクセスの復旧手順を実行できます。
- 詳しくは、「Microsoft Entra ID で緊急アクセス用管アカウントを管理する」をご覧ください。
- サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 これらは通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにサインインする場合にも使用されます。 プログラムでは MFA を完了できないため、このようなサービス アカウントは対象外とする必要があります。 サービス プリンシパルによる呼び出しは、ユーザーをスコープとする条件付きアクセス ポリシーではブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策として、ベースライン ポリシーの対象外にすることができます。
テンプレートのデプロイ
組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレートを使用するかを選ぶことができます。
条件付きアクセス ポリシーを作成する
多要素認証、組織の Intune 準拠ポリシーに準拠しているとマークされているリソースにアクセスするデバイス、または Microsoft Entra ハイブリッド参加済みデバイスを必須とする条件付きアクセス ポリシーを作成するには、次の手順に従います。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- 保護>条件付きアクセス を参照します。
- [新しいポリシーの作成] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
[含める] で、 [ディレクトリ ロール] を選択し、次のような組み込みロールを選択します。
- グローバル管理者
- アプリケーション管理者
- 認証管理者
- 課金管理者
- クラウド アプリケーション管理者
- 条件付きアクセス管理者
- Exchange 管理者
- ヘルプデスク管理者
- パスワード管理者
- 特権認証管理者
- 特権ロール管理者
- セキュリティ管理者
- SharePoint 管理者
- ユーザー管理者
[除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [ターゲット リソース]>[クラウド アプリ]>[対象] で、[すべてのクラウド アプリ] を選択します。
- [アクセス制御]>[付与] で
- [準拠しているとしてマーク済みであるデバイスを必須とする] または [Microsoft Entra ハイブリッド参加済みデバイスを必須とする] を選択します
- 複数のコントロールの場合、 [選択したコントロールのいずれかが必要] を選択します。
- [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
注意
上記の手順を使用して、 [すべてのユーザー] と [すべてのクラウド アプリ] に対して [デバイスは準拠としてマーク済みである必要があります] を選択した場合でも、新しいデバイスを Intune に登録できます。 [デバイスは準拠としてマーク済みである必要があります] コントロールを使用しても、Intune の登録はブロックされません。
既知の動作
Windows 7、iOS、Android、macOS、および一部のサードパーティ製 Web ブラウザーでは、Microsoft Entra ID によって、デバイスが Microsoft Entra ID に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。
サブスクリプションのライセンス認証
サブスクリプションのアクティブ化機能を使用してユーザーが Windows をあるバージョンから別へと "ステップアップ" できるようにする組織は、ビジネス向け Windows ストア (AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f) をデバイスのコンプライアンス ポリシーから除外できます。