Microsoft Edge と条件付きアクセス
この記事では、Microsoft Edge がマネージド デバイスの条件付きアクセス (CA) をサポートする方法と、管理されていないデバイスを使用して CA で保護されたリソースにアクセスする方法について説明します。
概要
クラウド リソースの管理と保護に関しては、ID とアクセスの両方が重要です。 ハイブリッド コンピューティングの世界では、ユーザーはいつでもどこからでもさまざまなデバイスやアプリを使用して組織のリソースにアクセスできます。 リソースにアクセスできるユーザーに焦点を当てるだけでは十分ではありません。 リソースへのアクセス方法についても考慮する必要があります。
条件付きアクセス (CA) は、セキュリティと生産性のバランスを取ります。 詳細については、「 条件付きアクセスのデプロイの計画」を参照してください。Microsoft Entra ID (旧称 Azure Active Directory) での条件付きアクセス (CA) の計画とデプロイに役立つ詳細なガイドです。 (この名前の変更の詳細については、「 Microsoft Entra ID の新しい名前」を参照してください)。
Microsoft Edge では、 マネージド デバイスと アンマネージド デバイスの両方で CA で保護されたリソースへのアクセスがネイティブにサポートされています。
注
デバイス ベースの制御の適用から Edge 認証を除外しました。 条件付きアクセスの設定中に、このスコープの手動除外を作成する必要はなくなりました。 Edge 認証は、Microsoft Edge での接続プロファイルの作成の前提条件です。
マネージド デバイス上の Microsoft Edge を使用して CA で保護された URL にアクセスする
Microsoft Edge では、Microsoft Entra (旧称 Azure Active Directory) 条件付きアクセスがネイティブにサポートされています。 別の拡張機能をインストールする必要はありません。Edge のネイティブ サポートにより、安定した高品質のアクセスが提供されます。 エンタープライズ Microsoft Entra ID (旧称 Azure Active Directory) 資格情報を使用して Edge プロファイルにサインインすると、Microsoft Edge は CA を使用して保護されたエンタープライズ クラウド リソースへのシームレスなアクセスを許可します。 このサポートは、サポートされているすべてのバージョンの Windows および macOS を含めて、すべてのプラットフォームに適用されます。
それぞれの Microsoft Entra (旧称 Azure Active Directory) アカウントを Windows に接続する必要があるため、 プライマリ更新トークン が条件付きアクセス ポリシーの評価要求と共に送信されます。 Windows に職場または学校アカウントを追加するには、次の手順に従って PC のアカウントを追加または削除します。 Windows に接続されている職場または学校アカウントの数には制限があることに注意してください。この デバイス管理に関する FAQ に記載されています。
Intune MAM を使用して BYOD 上の Microsoft Edge を使用して CA で保護された URL にアクセスする
登録解除されたデバイスのモバイル アプリケーション管理 (MAM) は、一般的に個人用または独自のデバイス (BYOD) を持ち込む場合に使用されます。 MAM は、個人のデバイスを登録していないが、組織のメール、Teams 会議などへのアクセスがまだ必要なユーザーのオプションです。 MAM の詳細については、「 Microsoft Intune アプリ管理とは」 と 「MAM FAQ」を参照してください。 Windows デバイスでの条件付きアクセスの詳細については、「Windows デバイスで アプリ保護ポリシーを要求する」を参照してください。
アクセスの問題
準拠デバイスで、リソースにアクセスする ID は、プロファイルの ID と一致している必要があります。 デバイスが管理されていない場合、またはデバイスが管理されていない場合は、アクセスがブロックされ、次のスクリーンショットのようなメッセージが表示されます。 この例では、 balas@contos.com
は、リソースにアクセスするために必要なサインイン アカウントです。
マネージド デバイスでの Microsoft Edge のアクセスに関する問題を修正する
アクセスがブロックされている場合は、必要なプロファイルに切り替えるか、一致する ID を持つプロファイルを作成する必要があります。 [ Edge プロファイルの切り替え ] を選択すると、Microsoft Edge によってサインイン プロセスがガイドされます。 詳細については、「 Windows デバイスでアプリ保護ポリシーを要求する (プレビュー)」を参照してください。
ブラウザーでアカウントの画像を選択し、次のタスクのドロップダウン メニューを使用して、プロファイル設定を操作することもできます。
- プロファイルの管理 - 歯車アイコン (プロファイル設定の管理) をクリックして、Edge 設定を開きます。
- 既存のプロファイルを選択する - プロファイル名を選択します。
- 個人用プロファイルを作成する - [ 新しい個人用プロファイルを設定する] を選択します。
- 新しい作業プロファイルを作成する - [ その他のプロファイル ] を選択し、[ 新しい作業プロファイルの設定] を選択します。 [その他のプロファイル] オプションを使用すると、 ゲストとして参照 したり 、キッズ モードで参照したりできます。
条件付きアクセス ポリシーのトラブルシューティングでは、CA の 問題の修正について詳しく説明します。
Intune MAM を使用して登録解除されたデバイスに関するアクセスの問題を修正する
有効期限が切れた登録などのアクセスの問題とその解決方法については、「トラブルシューティング」を 参照してください。