Intune での条件付きアクセスの一般的な使用方法
Intune で使用できる条件付きアクセス ポリシーには、デバイスベースの条件付きアクセスとアプリベースの条件付きアクセスの 2 種類があります。 それぞれをサポートするには、関連する Intune ポリシーを構成する必要があります。 Intune ポリシーが設定されて展開されると、条件付きアクセスを使用して、Exchange へのアクセスを許可またはブロックしたり、ネットワークへのアクセスを制御したり、モバイル脅威防御ソリューションと統合したりできます。
この記事は、Intune のモバイル "デバイス" のコンプライアンス機能と Intune のモバイル "アプリケーション" 管理 (MAM) 機能の使用方法を理解するのに役立ちます。
注:
条件付きアクセスは、Microsoft Entra ID P1 または P2 ライセンスに含まれる Microsoft Entra 機能です。 Intune は、モバイル デバイス コンプライアンスとモバイル アプリ管理をソリューションに加えて、この機能を強化します。 Intune からアクセスされる条件付きアクセス ノードは、Microsoft Entra ID からアクセスされるノードと同じです。
デバイスベースの条件付きアクセス
Intune と Microsoft Entra ID は連携して、管理対象デバイスと準拠デバイスのみが組織のメール、Microsoft 365 サービス、サービスとしてのソフトウェア (SaaS) アプリ、 およびオンプレミス アプリにアクセスできることを確認します。 さらに、Microsoft Entra ID でポリシーを設定して、Intune に登録されているドメインに参加しているコンピューターまたはモバイル デバイスのみが Microsoft 365 サービスにアクセスできるように設定できます。
Intune では、デバイス コンプライアンス ポリシーを展開して、デバイスが予想される構成とセキュリティの要件を満たしているかどうかを判断します。 コンプライアンス ポリシーの評価により、デバイスのコンプライアンス状態が決定されます。これは Intune と Microsoft Entra ID の両方に報告されます。 条件付きアクセス ポリシーでは、デバイスのコンプライアンス状態を使用して、そのデバイスからの組織のリソースへのアクセスを許可またはブロックするかどうかを決定できるのは、Microsoft Entra ID です。
Exchange Online およびその他の Microsoft 365 製品のデバイス ベースの条件付きアクセス ポリシーは、 Microsoft Intune 管理センターを通じて構成されます。
詳細については、「 Microsoft Entra ID で条件付きアクセスを使用してマネージド デバイスを要求する」を参照してください。
Intune のデバイス コンプライアンスの詳細については、こちらを参照してください。
注:
ユーザーが自分の Android の個人所有の仕事用プロファイルのデバイスでブラウザー アプリからアクセスするコンテンツに対してデバイス ベースのアクセスを有効にした場合、2021 年 1 月より前に登録したユーザーは、次のようにブラウザー アクセスを有効にする必要があります。
- ポータル サイト アプリを起動します。
- メニューから [設定] ページに移動します。
- [ブラウザー アクセスを有効にする] セクションで、[有効] ボタンをタップします。
- ブラウザー アプリを閉じてから再起動します。
これにより、ブラウザー アプリでアクセスできますが、アプリ内で開くブラウザー WebView にはアクセスできません。
Microsoft Intune を制御するために条件付きアクセスで使用できるアプリケーション
Microsoft Entra 管理センターで条件付きアクセスを構成する場合、次の 2 つのアプリケーションから選択できます。
- Microsoft Intune - このアプリケーションは、Microsoft Intune 管理センターとデータ ソースへのアクセスを制御します。 Microsoft Intune 管理センターとデータ ソースをターゲットにする場合は、このアプリケーションで許可/制御を構成します。
- Microsoft Intune Enrollment - このアプリケーションを使用すると、登録ワークフローを制御できます。 登録プロセスを対象にする場合は、このアプリケーションで許可または制御を構成します。 詳細については、「Intune へのデバイスの登録で多要素認証を要求する」を参照してください。
ネットワーク アクセス制御に基づく条件付きアクセス
Intune は Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーと統合され、Intune 登録とデバイスのコンプライアンス対応状態に基づいたアクセス制御が提供されます。
ユーザーは、使用しているデバイスが管理され、Intune デバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、会社の Wi-Fi や VPN リソースへのアクセスを許可または拒否されます。
- NAC と Intune の統合について詳しくは、こちらをご覧ください。
デバイスのリスクに基づく条件付きアクセス
Intune は、モバイル デバイス上のマルウェア、トロイの木馬、およびその他の脅威を検出するためのセキュリティ ソリューションを提供する Mobile Threat Defense ベンダーと提携しました。
Intune と Mobile Threat Defense の統合のしくみ
モバイル デバイスに Mobile Threat Defense エージェントがインストールされている場合、モバイル デバイスで脅威が検出されると、コンプライアンス対応状態のメッセージがエージェントから Intune に返されます。
Intune と Mobile Threat Defense の統合は、デバイスのリスクに基づいた条件付きアクセスの決定において重要な役割を果たします。
- Intune Mobile Threat Defense について詳しくは、こちらをご覧ください。
Windows PC の条件付きアクセス
PC の条件付きアクセスでは、モバイル デバイスで利用できる機能と同様の機能が提供されます。 Intune で PC を管理する場合に条件付きアクセスを使用する方法について説明します。
企業所有
Microsoft Entra ハイブリッド参加済み: このオプションは、AD グループ ポリシーまたは Configuration Manager を使用して PC を既に管理している方法にかなり慣れている組織で一般的に使用されます。
Microsoft Entra ドメイン参加済みおよび Intune 管理: このシナリオは、クラウドファースト (つまり、主にクラウド サービスを使用し、オンプレミス インフラストラクチャの使用を減らすことを目標とする) またはクラウド専用 (オンプレミス インフラストラクチャなし) を望む組織向けです。 Microsoft Entra 参加はハイブリッド環境で適切に機能し、クラウドとオンプレミスの両方のアプリとリソースにアクセスできます。 デバイスは Microsoft Entra ID に参加し、Intune に登録されます。これは、企業リソースにアクセスするときに条件付きアクセス条件として使用できます。
Bring Your Own Device (BYOD)
- Workplace Join と Intune 管理: この場合、ユーザーは個人のデバイスを参加させて、会社のリソースやサービスにアクセスできます。 Workplace Join を使用してデバイスを Intune MDM に登録し、デバイスレベルのポリシーを受け取ることができます。これは、条件付きアクセスの基準を評価する別のオプションです。
Microsoft Entra ID でのデバイス管理の詳細については、こちらをご覧ください。
アプリ ベースの条件付きアクセス
Intune と Microsoft Entra ID が連携すると、マネージド アプリのみが会社のメールやその他の Microsoft 365 サービスにアクセスできるようになります。
- Intune を使用したアプリ ベースの条件付きアクセスについて詳しくは、こちらをご覧ください。
Exchange On-Premises での Intune 条件付きアクセス
条件付きアクセスを使用すると、デバイス コンプライアンス ポリシーと登録状態に基づいて、Exchange On-Premises へのアクセスを許可またはブロックすることができます。 条件付きアクセスをデバイス コンプライアンス ポリシーと組み合わせて使用した場合は、準拠デバイスのみが Exchange On-Premises へのアクセスを許可されます。
条件付きアクセスの詳細設定を構成して、次のような細かい制御を行うことができます。
特定のプラットフォームを許可またはブロックする。
Intune で管理されていないデバイスを即時ブロックする。
デバイス コンプライアンスと条件付きアクセス ポリシーが適用されると、Exchange On-Premises へのアクセスで使用されるデバイスがチェックされます。
デバイスが条件を満たしていない場合、エンド ユーザーは、デバイス非準拠の原因である問題を修正するためのデバイス登録プロセスを提示されます。
注:
2020 年 7 月以降、Exchange Connector のサポートは非推奨とされ、Exchange のハイブリッド先進認証 (HMA) に置き換えられます。 HMA を使用する場合、Intune をセットアップして Exchange Connector を使用する必要はありません。 この変更により、サブスクリプションで Exchange コネクタを既に使用していない限り、Intune 用 Exchange コネクタを構成および管理する UI が Microsoft Intune 管理センターから削除されました。
ご使用の環境に Exchange Connector が設定されている場合、Intune テナントの使用は引き続きサポートされ、その構成をサポートする UI に引き続きアクセスできます。 詳細については、「Exchange オンプレミス コネクタのインストール」を参照してください。 引き続きコネクタを使用するか、HMA を構成してから、コネクタをアンインストールすることができます。
ハイブリッド先進認証は、以前に Intune の Exchange Connector によって提供されていた機能であるデバイス ID の Exchange レコードへのマッピングを備えています。 このマッピングは、Intune で行った構成、または Intune と Exchange をブリッジする Intune コネクタの要件の外部で行われるようになりました。 HMA では、"Intune" 固有の構成 (コネクタ) を使用するための要件が削除されています。
Intune ロールとは
Intune はデバイスの状態を評価し、管理します。
Exchange サーバー ロールとは
Exchange サーバーでは、デバイスを検疫に移動するための API とインフラストラクチャを提供しています。
重要
デバイスのコンプライアンスを評価できるようにするために、デバイスを使用するユーザーにコンプライアンス プロファイルと Intune ライセンスを割り当てる必要がある点に注意してください。 コンプライアンス ポリシーがユーザーに展開されていない場合、デバイスは準拠したものと見なされ、アクセス制限は適用されません。