次の手順は、条件付きアクセス ポリシーを作成して、 組織内でのデバイス コード フロー と 認証転送 の使用方法を制限するのに役立ちます。
デバイス コード フローのポリシー
組織では、デバイス コード フローを可能な限り一方的にブロックすることをお勧めします。 デバイス コード フローの既存の使用を監査し、まだ必要かどうかを判断するポリシーを作成することを検討してください。 更新できないレガシ ツールなど、適切に文書化され、セキュリティで保護されたユース ケースでのみ、デバイス コード フローを許可します。
デバイス コード フローを使用していない組織の場合は、次の条件付きアクセス ポリシーでブロックします。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、ポリシーのスコープ内にするユーザーを選択します (すべてのユーザー が推奨)。
-
[除外] で、次のようにします。
- ユーザーとグループを選択し、組織の緊急アクセスアカウントまたはブレークグラスアカウントと、その他の必要なユーザーを選択します。 この除外リストを定期的に監査します。
- [ターゲット リソース>リソース(以前のクラウド アプリ)>含める、ポリシーの対象にしたいアプリを選択します(すべてのリソース(以前は「すべてのクラウド アプリ」)が推奨されます)。
- [ 条件>認証フロー] で、[ 構成] を [はい] に設定します。
- [デバイス コード フロー] を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- [選択] を選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [作成] を選択して、ポリシーを有効化します。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。
認証転送ポリシー
条件付きアクセスの 認証フロー 条件を使用して、機能を管理します。 ユーザー が PC からモバイル デバイスに認証を転送しないようにする場合は、認証転送をブロックします。 たとえば、特定のグループが個人のデバイスで Outlook を使用することを許可しない場合は、認証転送をブロックします。 認証の転送をブロックするには、次の条件付きアクセス ポリシーを使用します。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、認証転送をブロック するすべてのユーザー またはユーザー グループを選択します。
-
[除外] で、次のようにします。
- [ユーザーとグループ] を選択し、組織の緊急アクセス用またはブレイクグラスアカウント、およびその他の必要なユーザーを選択します。 この除外リストを定期的に監査します。
- ターゲット リソース>リソース (旧称クラウド アプリ)>を含める、すべてのリソース (以前の「すべてのクラウド アプリ」) または認証転送用にブロックするアプリを選択します。
- [条件>認証フロー] で、[構成] を [はい] に設定します
- [ 認証転送] を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- [選択] を選択します。
- 設定を確認し、[ポリシーの有効化] を [有効] に設定します。
- [作成] を選択して、ポリシーを有効化します。