条件付きアクセス:Grant

[アーティクル]
03/12/2024

条件付きアクセスポリシー内では、管理者はアクセスコントロールを使用して、リソースへのアクセスを許可またはブロックすることができます。

アクセスのブロック

アクセスをブロックするコントロールでは、条件付きアクセスポリシーの構成に基づいてすべての割り当てが考慮され、アクセスが防止されます。

アクセスのブロックは強力なコントロールであり、適用するには適切な知識が必要です。ブロックステートメントのあるポリシーには予想外の副作用が含まれることがあります。大規模にコントロールを有効にする前に、適切なテストと検証が不可欠です。管理者は、変更を行うにあたり、条件付きアクセスのレポート専用モードや条件付きアクセスの What If ツールなどのツールを使う必要があります。

アクセス権の付与

管理者は、アクセス権を付与するときに 1 つ以上のコントロールを適用することを選択できます。これらのコントロールには、次のオプションがあります。

これらのオプションを組み合わせることを選ぶ場合、管理者は次の方法を使用できます。

選んだコントロールすべてが必要 (コントロール "と" コントロール)
選んだコントロールのいずれかが必要 (コントロール "または" コントロール)

条件付きアクセスの既定では、選んだすべてのコントロールが必要です。

多要素認証を要求する

このチェックボックスをオンにすると、ユーザーは Microsoft Entra 多要素認証を実行する必要があります。 Microsoft Entra 多要素認証のデプロイの詳細については、「クラウドベースの Microsoft Entra のデプロイを計画する」を参照してください。

Windows Hello for Business は、条件付きアクセスポリシーでの多要素認証の要件を満たしています。

認証強度が必要

管理者は、条件付きアクセスポリシーで、特定の認証強度を要求することを選択できます。これらの認証強度は、[Microsoft Entra管理センター]>[保護]>[認証方法]>[認証強度] で定義されています。管理者は、独自のバージョンを作成するか、組み込みバージョンを使用するかを選択できます。

デバイスは準拠としてマーク済みである必要がある

Intune をデプロイしている組織では、デバイスから返された情報を使用して、特定のポリシー準拠要件を満たすデバイスを識別することができます。 Intune から Microsoft Entra へ準拠情報が送信されることで、条件付きアクセスがリソースへのアクセスを付与するか、ブロックするかを決定できるようになります。準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」を参照してください。

デバイスに準拠とマークを付けることができるのは、任意のデバイスオペレーティングシステムの場合は Intune、Windows デバイスの場合はサードパーティ製モバイルデバイス管理システムです。サポートされるサードパーティ製モバイルデバイス管理システムの一覧については、「Intune でサードパーティのデバイスコンプライアンスパートナーをサポートする」を参照してください。

デバイスに準拠のマークを付けるには、事前にそのデバイスが Microsoft Entra ID に登録されている必要があります。デバイスの登録の詳細については、「デバイス ID とは」を参照してください。

[デバイスは準拠としてマーク済みである必要があります] コントロール:

Microsoft Entra ID と Intune に登録されている Windows 10 以降、iOS、Android、macOS デバイスのみがサポートされています。
Windows 上の InPrivate モードの Microsoft Edge は非準拠デバイスと見なされます。

Note

Windows、iOS、Android、macOS、および一部のサードパーティ製 Web ブラウザーでは、Microsoft Entra ID によって、デバイスが Microsoft Entra ID に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。ユーザーは、ブラウザーで最初にサインインするときに証明書の選択を求められます。ユーザーは、ブラウザーを使用し続けるには、まずこの証明書を選択する必要があります。

Intune の承認済みクライアントアプリポリシーと共に Microsoft Defender for Endpoint アプリを使用して、デバイスコンプライアンスポリシーを条件付きアクセスポリシーに設定できます。条件付きアクセスの設定中に、Microsoft Defender for Endpoint アプリの除外は必要ありません。 Android と iOS 上の Microsoft Defender for Endpoint (アプリ ID dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) は承認されたアプリではありませんが、デバイスのセキュリティ体制を報告するアクセス許可があります。このアクセス許可により、条件付きアクセスへのコンプライアンス情報のフローが有効になります。

Microsoft Entra ハイブリッド参加済みデバイスが必要

組織は、条件付きアクセスポリシーの一部としてデバイス ID を使用することを選択できます。組織は、このチェックボックスを使用して、デバイスが Microsoft Entra ハイブリッド参加済みであることを必須にすることができます。デバイス ID の詳細については、「デバイス ID とは」を参照してください。

device-code OAuth フローを使う場合、マネージドデバイスまたはデバイスの状態条件に必要な許可コントロールはサポートされていません。この理由は、認証を行うデバイスが、コードを提供するデバイスに対してそのデバイスの状態を提供できないからです。また、トークン内のデバイスの状態は、認証を実行しているデバイスに対してロックされています。代わりに、[多要素認証を必須にする] コントロールを使用します。

Microsoft Entra ハイブリッド参加済みデバイスが必要 コントロール:

ドメイン参加済みのダウンレベルの Windows (Windows 10 より前) および最新の Windows (Windows 10+) デバイスのみがサポートされています。
InPrivate モードの Microsoft Edge を Microsoft Entra ハイブリッド参加済みデバイスと見なしません。

承認済みクライアントアプリを必須にする

組織は、選んだクラウドアプリにアクセスする場合に承認済みクライアントアプリの使用を必須にすることができます。これらの承認されたクライアントアプリは、モバイルデバイス管理ソリューションには一切依存せずに、Intune アプリ保護ポリシーをサポートします。

警告

承認済みクライアントアプリ許可は、2026 年 3 月上旬に廃止されます。組織は、2026 年 3 月までに、承認済みクライアントアプリの要求許可のみを使用するすべての現在の条件付きアクセスポリシーを承認済みクライアントアプリを必須にするまたはアプリケーション保護ポリシーに移行する必要があります。さらに、新しい条件付きアクセスポリシーの場合は、アプリケーション保護ポリシーを必須とする許可のみを適用します。詳細については、[条件付きアクセスで承認済みクライアントアプリをアプリケーション保護ポリシーに移行する」を参照してください。

この許可コントロールを適用するには、デバイスを Microsoft Entra ID に登録する必要があります。また、そのためにはブローカーアプリを使用する必要があります。ブローカーアプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft Authenticator または Microsoft ポータルサイトを使用できます。ユーザーが認証を試みたときにブローカーアプリがデバイスにインストールされていない場合、ユーザーは必要なブローカーアプリをインストールするために、適切な App ストアにリダイレクトされます。

この設定は、次のクライアントアプリでサポートされています。この一覧は完全なものではなく、変更されることがあります。

Microsoft Azure Information Protection
Microsoft Cortana
Microsoft Dynamics 365
Microsoft Edge
Microsoft Excel
Microsoft Power Automate
Microsoft Invoicing
Microsoft Kaizala
Microsoft Launcher
Microsoft リスト
Microsoft Office
Microsoft OneDrive
Microsoft OneNote
Microsoft Outlook
Microsoft Planner
Microsoft Power Apps
Microsoft Power BI
Microsoft PowerPoint
Microsoft SharePoint
Microsoft Skype for Business
Microsoft Stream
Microsoft Teams
Microsoft To Do
Microsoft Visio
Microsoft Word
Microsoft Yammer
Microsoft Whiteboard
Microsoft 365 管理

解説

承認されたクライアントアプリは、Intune モバイルアプリケーション管理機能をサポートしています。
[承認されたクライアントアプリが必要です] 要件:
- デバイスプラットフォームの条件に関しては、iOS と Android のみがサポートされます。
- デバイスを登録するにはブローカーアプリが必要です。ブローカーアプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft Authenticator または Microsoft ポータルサイトを使用できます。
条件付きアクセスでは、InPrivate モードの Microsoft Edge を承認されたクライアントアプリと見なすことはできません。
Microsoft Power BI を承認済みクライアントアプリとして必要とする条件付きアクセスポリシーでは、Microsoft Entra アプリケーションプロキシを使用して Power BI モバイルアプリをオンプレミスの Power BI レポートサーバーに接続することをサポートしていません。
Microsoft Edge の外部でホストされている WebView は、承認されたクライアントアプリポリシーを満たしていません。たとえば、アプリが Web ビューで SharePoint を読み込もうとしている場合、アプリ保護ポリシーは失敗します。

構成例については、「条件付きアクセスを使用してクラウドアプリへのアクセスに承認されたクライアントアプリを要求する」を参照してください。

アプリの保護ポリシーを必須にする

条件付きアクセスポリシー内で、選択したアプリケーションがアクセスできるようにする前に、クライアントアプリに Intune アプリ保護ポリシーが存在することを要求できます。これらのモバイルアプリケーション管理 (MAM) アプリ保護ポリシーを使用すると、特定のアプリケーション内で組織のデータを管理および保護できます。

この許可コントロールを適用するために、条件付きアクセスでは、ブローカーアプリの使用を必要とするデバイスを Microsoft Entra ID に登録する必要があります。ブローカーアプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft ポータルサイトのいずれかを使用できます。ユーザーが認証を試みたときにブローカーアプリがデバイスにインストールされていない場合、ユーザーはブローカーアプリをインストールするために、App Store にリダイレクトされます。 Microsoft Authenticator アプリはブローカーアプリとして使用できますが、承認されたクライアントアプリとして対象にすることはサポートされていません。アプリ保護ポリシーは、iOS と Android、および Windows 上の Microsoft Edge のパブリックプレビューで一般提供されています。 Windows デバイスは、同じセッションで最大 3 つの Microsoft Entra ユーザーアカウントをサポートします。 Windows デバイスにポリシーを適用する方法の詳細については、「Windows デバイスのアプリ保護ポリシーを要求する (プレビュー)」を参照してください。

アプリケーションは、アプリ保護ポリシーをサポートするための特定の要件を満たしている必要があります。これらの要件の詳細について、開発者は「アプリ保護ポリシーで管理できるアプリ」セクションを参照してください。

この設定は、次のクライアントアプリでサポートされています。この一覧は完全なものではなく、変更されることがあります。アプリがこのリストにない場合は、アプリケーションベンダーに問い合わせてサポートを確認してください。

Adobe Acrobat Reader モバイルアプリ
iAnnotate for Office 365
Microsoft Cortana
Microsoft Dynamics 365 for Phone
Microsoft Dynamics 365 Sales
Microsoft Edge
Microsoft Excel
Microsoft Power Automate
Microsoft Launcher
Microsoft リスト
Microsoft Loop
Microsoft Office
Microsoft OneDrive
Microsoft OneNote
Microsoft Outlook
Microsoft Planner
Microsoft Power BI
Microsoft PowerApps
Microsoft PowerPoint
Microsoft SharePoint
Microsoft Stream Mobile Native 2.0
Microsoft Teams
Microsoft To Do
Microsoft Word
Microsoft Whiteboard サービス
MultiLine for Intune
Nine Mail - メールとカレンダー
Notate for Intune
Provectus - 安全な連絡先
Viva Engage (Android、iOS、iPadOS)

Note

Kaizala、Skype for Business、Visio は、[アプリの保護ポリシーが必要] 許可をサポートしていません。これらのアプリを動作させる必要がある場合は、[承認済みのアプリが必要] 許可を明示的に使用してください。この 3 つのアプリケーションでは、2 つの許可の間に "or" 句を使用することはできません。

構成例については、「条件付きアクセスを使用して、クラウドアプリへのアクセスにアプリ保護ポリシーと承認済みクライアントアプリの使用を必須にする」を参照してください。

パスワードの変更を必須とする

ユーザーリスクが検出されると、管理者はユーザーリスクポリシーの条件を採用し、Microsoft Entra セルフサービスパスワードリセットを使用して、ユーザーがパスワードを安全に変更できるようにすることができます。ユーザーは、セルフサービスパスワードリセットを実行して、自己修復を行うことができます。このプロセスによってユーザーリスクイベントが閉じられるので、管理者に対する不要なアラートを防ぐことができます。

ユーザーがパスワードの変更を求められた場合は、まず多要素認証を完了する必要があります。アカウントのリスクが検出された場合に備えて、必ずすべてのユーザーを多要素認証に登録してください。

警告

ユーザーリスクポリシーをトリガーする前に、ユーザーは多要素認証に事前に登録しておく必要があります。

パスワード変更コントロールを使ってポリシーを構成する場合は、次の制限が適用されます。

ポリシーは、"すべてのクラウドアプリ" に割り当てる必要があります。この要件によって、攻撃者は、別のアプリを使ってユーザーのパスワードを変更し、別のアプリにサインインしてアカウントのリスクをリセットすることができなくなります。
[パスワードの変更を必須とする] は、準拠デバイスの要求など、他のコントロールと共に使用することができません。
パスワード変更のコントロールは、ユーザーとグループの割り当て条件、クラウドアプリの割り当て条件 ([すべて] に設定する必要があります)、ユーザーリスク条件でのみ使用できます。

使用条件

組織で利用規約を作成している場合、許可コントロールに他のオプションが表示されることがあります。これらのオプションを使用すると、ポリシーによって保護されたリソースにアクセスするための条件として、管理者は利用規約への同意を要求することができます。利用規約の詳細については、「Microsoft Entra の利用規約」を参照してください。

カスタムコントロール (プレビュー)

カスタムコントロールは、Microsoft Entra ID のプレビュー機能です。カスタムコントロールを使用すると、Microsoft Entra ID とは別の認証要件を満たすために、ユーザーが互換性のあるサービスにリダイレクトされます。詳細については、「カスタムコントロール」の記事を参照してください。

次のステップ

条件付きアクセス:セッションコントロール
Conditional Access common policies (条件付きアクセスの一般的なポリシー)
レポート専用モード