Microsoft Intuneデバイス コンプライアンス ポリシーは、管理対象デバイスの状態を評価して、organizationのアプリやサービスへのアクセスを許可する前に、それらが要件を満たしていることを確認できます。 デバイス コンプライアンス ポリシーの状態の結果は、条件付きアクセス ポリシー Microsoft Entra使用して、セキュリティとコンプライアンスの標準を適用できます。 この組み合わせは、デバイス ベースの条件付きアクセスと呼ばれます。
ヒント
デバイス ベースの条件付きアクセス ポリシーに加えて、アプリベースの条件付きアクセスをIntuneで使用できます。
条件付きアクセスは、Microsoft Entraテクノロジです。 Microsoft Intune管理センターからアクセスする条件付きアクセス ノードは、Microsoft Entra IDからアクセスするノードと同じであるため、ポリシーを構成するためにそれらを切り替える必要はありません。
要件
ライセンス要件
デバイス ベースの条件付きアクセス ポリシーを作成する前に、Microsoft Entra ID P1 または P2 ライセンスが必要です。 詳細については、「Microsoft Entra価格」を参照してください。
ロールの要件
アカウントには、Microsoft Entraで次のいずれかのロールが必要です。
- セキュリティ管理者
- 条件付きアクセス管理者
重要
条件付きアクセスを設定する前に、特定の要件を満たしているかに基づいてデバイスを評価するため Intune デバイスのコンプライアンス ポリシーを設定する必要があります。 Intune のデバイス コンプライアンス ポリシーの概要をご覧ください。
そのしくみ
デバイス ベースの条件付きアクセスでは、Intuneからのコンプライアンス状態シグナルを使用して、Microsoft Entra IDでアクセス制御を適用します。 構成には、次の 2 つのフェーズが含まれます。
フェーズ 1 - Intuneでデバイス コンプライアンス ポリシーを構成する: これらのポリシーは、マネージド デバイスがセキュリティ要件を満たしているかどうかを評価します。 Intuneは、コンプライアンスの状態をMicrosoft Entra IDに報告します。
フェーズ 2 - Microsoft Entraで条件付きアクセス ポリシーを作成する: ポリシーは、Intuneからのコンプライアンス信号を使用します。 この記事では、Microsoft Intune管理センター内からポリシーを構成する方法について説明します。
条件付きアクセス ポリシーを作成する
Microsoft Intune 管理センターにサインインします。
[ Endpoint security>Conditional Access>新しいポリシーを作成する] を選択します。
[新しい] ウィンドウが開きます。これは、Microsoft Entraの構成ウィンドウです。 作成するポリシーは、条件付きアクセスのMicrosoft Entra ポリシーです。 このウィンドウと条件付きアクセス ポリシーの詳細については、「Microsoft Entra コンテンツの条件付きアクセス ポリシー コンポーネント」を参照してください。
[ 割り当て] で、ポリシーが適用されるディレクトリ内の ID を選択するように ユーザーとグループ を構成します。 詳細については、Microsoft Entraドキュメントの「ユーザーとグループ」を参照してください。
- [含める] タブで、含めるユーザーとグループを構成します。
- このポリシーから除外するユーザー、ロール、またはグループがある場合は、[除外] タブを使用します。
ヒント
より小さなユーザー グループに対してポリシーをテストし、より大きなグループに展開する前に、ポリシーが期待どおりに動作することを確認します。
次に、[割り当て] の下にある [ターゲット リソース] を構成します。 [ このポリシーが適用される内容を選択する ] ドロップダウンを使用して、[ クラウド アプリ] を選択します。
[ 含める ] タブで、使用可能なオプションを使用して、この条件付きアクセス ポリシーで保護するアプリとサービスを特定します。
[アプリの選択] を選択した場合は、使用可能な UI を使用して、このポリシーで保護するアプリとサービスを選択します。
注意
自分をロックアウトしないでください。[すべてのクラウド アプリ] を選択した場合は、必ず警告を確認し、このポリシーが有効になると、ユーザー アカウントまたは他の関連するユーザーとグループから除外し、Microsoft Entra 管理センターまたはMicrosoft Intune管理センターを使用するためのアクセス権を保持する必要があります。
このポリシーから除外する任意のアプリやサービスがある場合は、除外 タブを使用できます。
詳細については、Microsoft Entraドキュメントの「クラウド アプリまたはアクション」を参照してください。
次に、 [条件] を構成します。 このポリシーの条件として使用するシグナルを選択します。 オプションは以下のとおりです。
- ユーザーのリスク
- サインイン リスク
- デバイス プラットフォーム
- 場所
- クライアント アプリ
- デバイスのフィルター
これらのオプションの詳細については、Microsoft Entraドキュメントの「条件」を参照してください。
ヒント
先進認証クライアントと Exchange ActiveSync クライアントの両方を保護したい場合、クライアントの種類ごとに 1 つずつ、計 2 つの別個の条件付きアクセス ポリシーを作成します。 Exchange ActiveSync では先進認証をサポートしていますが、Exchange ActiveSync でサポートされる条件はプラットフォームだけです。 多要素認証を含むその他の条件はサポートされていません。 Exchange ActiveSync から Exchange Online へのアクセスを効率よく保護するには、[サポートされているプラットフォームのみにポリシーを適用する] を選択したうえで、クラウド アプリ Microsoft 365 Exchange Online とクライアント アプリ Exchange ActiveSync を指定する条件付きアクセス ポリシーを作成します。
[ アクセス制御] で、[ 許可] を構成して 1 つ以上の要件を選択します。 Grant のオプションについては、Microsoft Entraドキュメントの「許可」を参照してください。
重要
このポリシーでデバイスコンプライアンスの状態を使用するには、[ アクセス権の付与] で [ デバイスを準拠としてマークする必要があります] を選択する必要があります。
- アクセスをブロックする: 指定したアプリまたはサービスへのアクセスを拒否します。
- アクセス権の付与: アクセス権を付与しますが、1 つ以上の条件を要求できます。 Intuneからデバイス コンプライアンスの状態を使用するには、[デバイスを準拠としてマークする必要があります] を選択します。
ポリシーを有効にする で、オン を選択します。 既定では、ポリシーは [レポート専用] に設定されています。
[作成] を選択します。