条件付きアクセスのクラシック ポリシーの移行

条件付きアクセスは、Azure Active Directory で使用されるツールです。このツールによって、シグナルをまとめて、決定を行い、組織のポリシーを適用することができます。 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。 目的は変わりませんが、新しい Azure portal のリリースにより、条件付きアクセスのしくみが大幅に改善されました。

次の理由から、Azure portal で作成していないポリシーの移行を検討します。

  • 以前は処理できなかったシナリオに対処できるようになりました。
  • ポリシーを統合することで、管理する必要のあるポリシーの数を減らすことができます。
  • 一元的な場所ですべての条件付きアクセス ポリシーを管理することができます。
  • Azure クラシック ポータルは廃止されます。

この記事では、既存の条件付きアクセス ポリシーを新しいフレームワークに移行するために知っておく必要があることについて説明します。

クラシック ポリシー

Azure portal では、 [Azure Active Directory]>[セキュリティ]>[条件付きアクセス] で、条件付きアクセス ポリシーを確認できます。 このページを使用して作成されていない古い条件付きアクセスポリシーが、組織に存在している場合もあります。 これらのポリシーはクラシック ポリシーと呼ばれます。 クラシック ポリシーは、次の場所で作成した条件付きアクセス ポリシーです。

  • Azure クラシック ポータル
  • Intune クラシック ポータル
  • Intune App Protection ポータル

[条件付きアクセス] ページで、 [管理] セクションの [クラシック ポリシー] をクリックして、クラシック ポリシーにアクセスできます。

クラシック ポリシー ビューを示している Azure AD の条件付きアクセス

[クラシック ポリシー] ビューには以下を行うオプションがあります。

  • クラシック ポリシーをフィルター処理します。

  • クラシック ポリシーを無効にします。

  • クラシック ポリシーの設定を確認してから無効にします。

    既存のポリシー構成を含むクラシック ポリシーの詳細

警告

無効にしたクラシック ポリシーを再度有効にすることはできません。

クラシック ポリシーの詳細ビューでは、設定の文書化、含まれるグループまたは除外されるグループの変更、およびポリシーの無効化を実行できます。

ポリシーの詳細 - 含めるグループまたは除外するグループ

選択したグループを変更するか、特定のグループを除外することで、含まれるすべてのユーザーとグループに対してポリシーを無効にする前に、無効になったクラシック ポリシーの少数のテスト ユーザーに対する効果をテストできます。

移行に関する考慮事項

この記事では、Azure AD の条件付きアクセス ポリシーを "新しいポリシー" とも呼びます。 クラシック ポリシーは、無効にするか削除するまで新しいポリシーと並行して動作を続けます。

ポリシー統合のコンテキストでは次の側面が重要です。

  • クラシック ポリシーは特定のクラウド アプリに関連付けられていますが、新しいポリシーで必要な場合はクラウド アプリをいくつでも選択できます。
  • クラウド アプリのクラシック ポリシーと新しいポリシーのコントロールでは、すべてのコントロール (AND) を満たす必要があります。
  • 新しいポリシーでは、次の操作を実行できます。
    • シナリオで必要な場合に、複数の条件を結合します。
    • 複数の許可要件をアクセス制御として選び、それらを論理 OR (選択したコントロールのいずれかが必要) または論理 AND (すべての選択したコントロールが必要) で結合します。

Exchange Online

Exchange Active Sync をクライアント アプリの条件として含む Exchange Online のクラシック ポリシーを移行する場合は、1 つの新しいポリシーに統合できないことがあります。

たとえば、すべてのクライアント アプリの種類をサポートしない場合などです。 Exchange Active Sync をクライアント アプリの条件として持つ新しいポリシーでは、他のクライアント アプリを選択できません。

条件付きアクセスでのクライアント アプリの選択

クラシック ポリシーに複数の条件が含まれている場合も、1 つの新しいポリシーに統合できません。 Exchange Active Sync がクライアント アプリの条件として構成されている新しいポリシーでは、他の条件はサポートされません。

Exchange ActiveSync では、選択された条件はサポートされません。

Exchange Active Sync がクライアント アプリの条件として構成されている新しいポリシーがある場合は、他のすべての条件が構成されていないことを確認する必要があります。

条件付きアクセスでの条件

Exchange Active Sync をクライアント アプリの条件として含む Exchange Online のアプリ ベースのクラシック ポリシーは、サポートされているデバイス プラットフォームにも、サポートされていないデバイス プラットフォームにも対応します。 関連する新しいポリシーで個々のデバイス プラットフォームを構成することはできませんが、サポートをサポートされているデバイス プラットフォームのみに制限できます。

条件付きアクセスでの Exchange ActiveSync の選択

以下がある場合は、Exchange Active Sync をクライアント アプリの条件として含む複数のクラシック ポリシーを統合できます。

  • 条件としての Exchange Active Sync のみ
  • アクセス権を付与するための複数の要件が構成されている

1 つの一般的なシナリオは、以下の統合です。

  • Azure クラシック ポータルからのデバイス ベースのクラシック ポリシー
  • Intune App Protection ポータルのアプリ ベースのクラシック ポリシー

この場合、選択した両方の要件を持つ 1 つの新しいポリシーにクラシック ポリシーを統合できます。

条件付きアクセスでの付与の制御

デバイス プラットフォーム

アプリ ベースのコントロールを持つクラシック ポリシーは、iOS と Android でデバイス プラットフォーム条件として事前に構成されています。

新しいポリシーでは、個別にサポートするデバイス プラットフォームを選ぶ必要があります。

条件付きアクセスでのデバイス プラットフォームの選択

次のステップ