この記事では、Microsoft Edge が管理対象デバイスの条件付きアクセスをサポートする方法と、アンマネージド デバイスを使用して条件付きアクセスで保護されたリソースにアクセスする方法について説明します。
概要
クラウド リソースの管理と保護に関しては、ID とアクセスの両方が重要です。 ハイブリッド コンピューティングの世界では、ユーザーはいつでもどこからでもさまざまなデバイスやアプリを使用して、organizationのリソースにアクセスできます。 リソースにアクセスできるユーザーに焦点を当てるだけでは十分ではありません。 リソースへのアクセス方法についても考慮する必要があります。
条件付きアクセスを使用すると、セキュリティと生産性のバランスを取ります。 詳細については、「条件付きアクセスのデプロイの計画」を参照してください。条件付きアクセスの計画とデプロイをMicrosoft Entra ID (旧称 Azure Active Directory) に行うのに役立つ詳細なガイドです。 (この名前の変更の詳細については、「Microsoft Entra IDの新しい名前」を参照してください)。
Microsoft Edge では、 マネージド デバイスと アンマネージド デバイスの両方で、条件付きアクセスで保護されたリソースへのアクセスがネイティブにサポートされています。
注
認証ブートストラップ プロセス中に特定のデバイス ベースの条件付きアクセス制御を適用しないように、Edge Auth を除外しました。 具体的には、現在、 RequireApprovedApp、 RequireCompliantApp、 RequireCompliantDeviceの各コントロールが除外されています。 ただし、 RequireDomainJoinedDevice は除外 されず 、適用されます。
マネージド デバイスで Microsoft Edge を使用して条件付きアクセスで保護された URL にアクセスする
Microsoft Edge では、Microsoft Entra (旧称 Azure Active Directory) 条件付きアクセスがネイティブにサポートされています。 別の拡張機能をインストールする必要はありません。Edge のネイティブ サポートにより、安定した高品質のアクセスが提供されます。 エンタープライズ Microsoft Entra ID (旧称 Azure Active Directory) 資格情報を使用して Edge プロファイルにサインインすると、条件付きアクセスを使用して保護されたエンタープライズ クラウド リソースへのシームレスなアクセスが Microsoft Edge によって許可されます。 このサポートは、サポートされているすべてのバージョンの Windows および macOS を含めて、すべてのプラットフォームに適用されます。
それぞれのMicrosoft Entra (旧称 Azure Active Directory) アカウントを Windows に接続する必要があるため、プライマリ更新トークンが条件付きアクセス ポリシーの評価要求と共に送信されます。 Windows に職場または学校アカウントを追加するには、次の手順に従って PC のアカウントを追加または削除します。 Windows に接続されている職場または学校アカウントの数には制限があることに注意してください。この デバイス管理に関する FAQ に記載されています。
INTUNE MAM を使用した BYOD での Microsoft Edge での条件付きアクセス保護 URL へのアクセス
登録解除されたデバイスのモバイル アプリケーション管理 (MAM) は、一般的に個人用または独自のデバイス (BYOD) を持ち込む場合に使用されます。 MAM は、個人用デバイスを登録していないが、organizationのメール、Teams 会議などへのアクセスが必要なユーザーのオプションです。 MAM の詳細については、「アプリ管理Microsoft Intuneとは」と「MAM FAQ」を参照してください。 Windows デバイスでの条件付きアクセスの詳細については、「Windows デバイスで アプリ保護ポリシーを要求する」を参照してください。
アクセスの問題
準拠デバイスで、リソースにアクセスする ID は、プロファイルの ID と一致している必要があります。 デバイスが管理されていない場合、またはデバイスが管理されていない場合は、アクセスがブロックされ、次のスクリーンショットのようなメッセージが表示されます。 この例では、 balas@contos.com は、リソースにアクセスするために必要なサインイン アカウントです。
マネージド デバイスでの Microsoft Edge のアクセスに関する問題を修正する
アクセスがブロックされている場合は、必要なプロファイルに切り替えるか、一致する ID を持つプロファイルを作成する必要があります。 [ Edge プロファイルの切り替え ] を選択すると、Microsoft Edge によってサインイン プロセスがガイドされます。 詳細については、「 Windows デバイスでアプリ保護ポリシーを要求する (プレビュー)」を参照してください。
ブラウザーでアカウントの画像を選択し、次のタスクのドロップダウン メニューを使用して、プロファイル設定を操作することもできます。
- プロファイルの管理 - 歯車アイコン (プロファイル設定の管理) をクリックして、Edge 設定を開きます。
- 既存のプロファイルを選択する - プロファイル名を選択します。
- 個人用プロファイルを作成する - [ 新しい個人用プロファイルを設定する] を選択します。
- 新しい作業プロファイルを作成する - [ その他のプロファイル ] を選択し、[ 新しい作業プロファイルの設定] を選択します。 [その他のプロファイル] オプションを使用すると、 ゲストとして参照 したり 、キッズ モードで参照したりできます。
条件付きアクセス ポリシーのトラブルシューティングでは、 条件付きアクセスの問題の修正について詳しく説明します。
Intune MAM を使用して登録解除されたデバイスに関するアクセスの問題を修正する
有効期限が切れた登録などのアクセスの問題とその解決方法については、「トラブルシューティング」を 参照してください。