次の手順は、条件付きアクセス ポリシーを作成して、組織内での デバイス コード フロー と 認証転送 の使用方法を制限するのに役立ちます。
デバイス コード フローのポリシー
注
セキュリティ態勢を強化するために、Microsoft では、可能な限りデバイス コード フローをブロックまたは制限することをお勧めします。
まず、 レポート専用モード でポリシーを構成して、組織に対する潜在的な影響を判断する必要があります。
組織では、デバイス コード フローを可能な限り一方的にブロックすることをお勧めします。 組織では、デバイス コード フローの既存の使用状況を監査して、デバイス コード フローが引き続き必要かどうかを判断するためのポリシーを作成することを検討する必要があります。
デバイス コード フローの使用が確立されていない組織の場合は、次の条件付きアクセス ポリシーを使ってブロックすることができます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、ポリシーのスコープ内にするユーザーを選択します (すべてのユーザー が推奨)。
-
[除外] で、次のようにします。
- ユーザーとグループ を選択し、組織の緊急アクセスまたはブレークグラスアカウント、およびその他の必要なユーザーを選択してください。この除外リストは定期的に監査されるべきです。
- [ターゲット リソース>リソース(以前のクラウド アプリ)>含める、ポリシーの対象にしたいアプリを選択します(すべてのリソース(以前は「すべてのクラウド アプリ」)が推奨されます)。
- [ 条件>認証フロー] で、[ 構成] を [はい] に設定します。
- [デバイス コード フロー] を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- [選択] を選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。
認証転送ポリシー
条件付きアクセスの 認証フロー 条件を使用して、機能を管理します。 ユーザーが PC からモバイル デバイスに 認証 を転送したくない場合は、認証転送をブロックできます。 たとえば、特定のグループによる個人用デバイスでの Outlook の使用を許可しない場合です。 認証転送のブロックは、次の条件付きアクセス ポリシーを使って行うことができます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、認証転送をブロック するすべてのユーザー またはユーザー グループを選択します。
-
[除外] で、次のようにします。
- ユーザーとグループ を選択し、組織の緊急アクセスまたはブレークグラスアカウント、およびその他の必要なユーザーを選択してください。この除外リストは定期的に監査されるべきです。
- [ターゲット リソース>リソース (旧称クラウド アプリ)) >[含む] で、認証の転送をブロックするすべてのリソース (以前の [すべてのクラウド アプリ]) またはアプリを選択します。
- [条件>認証フロー] で、[構成] を [はい] に設定します
- [ 認証転送] を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- [選択] を選択します。
- 設定を確認し、[ポリシーの有効化] を [有効] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。