条件付きアクセス ポリシーを使用して認証フローをブロックする

以下の手順は、組織内でのデバイス コード フローと認証転送の使用方法を制限する条件付きアクセス ポリシーを作成するのに役立ちます。

デバイス コード フロー ポリシー

Note

セキュリティ態勢を強化するために、Microsoft は可能な限りデバイス コード フローをブロックまたは制限することをお勧めします。

組織に対する潜在的な影響を判断できるように、常にレポート専用モードでポリシーを構成することから始めてください。

デバイス コード フローの一方的なブロックに組織をできる限り近づけることをお勧めします。 組織では、デバイス コード フローの既存の使用を監査し、まだ必要かどうかを判断するポリシーの作成を検討するようにします。

デバイス コード フローの使用が確立されていない組織の場合は、次の条件付きアクセス ポリシーを使ってブロックすることができます。

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
2. 保護>条件付きアクセス を参照します。
3. [新しいポリシーの作成] を選択します。
4. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [含める] で、ポリシーの対象にするユーザーを選びます (すべてのユーザーをお勧めします)。
   2. [除外] で、[ユーザーとグループ] を選択します。 必要なユーザーのみを除外し、この除外一覧を定期的に監査するようにします。
5. [ターゲット リソース]>[クラウド アプリ]>[含める] で、ポリシーの対象にするアプリを選びます (すべてのクラウド アプリをお勧めします)。
6. [条件]>[認証フロー] で [構成] を [はい] に設定します。
   1. [デバイス コード フロー] を選びます。
   2. 完了 を選択します。
7. アクセス制御>許可 で、アクセスのブロック を選択します。
   1. [選択] を選択します。
8. 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
9. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

認証転送ポリシー

認証転送を制御する機能はプレビュー段階です。条件付きアクセスの認証フロー条件を使って機能を管理してください。 ユーザーが PC からモバイル デバイスに認証を転送することを許可したくない場合は、認証の転送をブロックできます。 たとえば、特定のグループによる個人用デバイスでの Outlook の使用を許可しない場合です。 認証転送のブロックは、次の条件付きアクセス ポリシーを使って実行できます。

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
2. 保護>条件付きアクセス を参照します。
3. [新しいポリシーの作成] を選択します。
4. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [含める] で、[すべてのユーザー]、または認証転送をブロックするユーザー グループを選びます。
   2. [除外] で、[ユーザーとグループ] を選択します。 必要なユーザーのみを除外し、この除外一覧を定期的に監査するようにします。
5. [ターゲット リソース]>[クラウド アプリ]>[含める] で、[すべてのクラウド アプリ]、または認証転送をブロックするアプリを選びます。
6. [条件]>[認証フロー] で [構成] を [はい] に設定します。
   1. [認証転送] を選びます。
   2. 完了 を選択します。
7. アクセス制御>許可 で、アクセスのブロック を選択します。
   1. [選択] を選択します。
8. 設定を確認し、[ポリシーを有効にする] を [オン] に設定します。
9. [作成] を選択して、ポリシーを作成および有効化します。

関連するコンテンツ

• 条件付きアクセス: 認証フロー
• 条件付きアクセス: 認証転送
• 条件付きアクセス:条件