次の方法で共有

手順 1. Microsoft Edge for Businessを使用してMicrosoft Entra条件付きアクセスを作成する

最新のセキュリティ境界は、ユーザーとデバイスの ID を含むように、organizationのネットワーク境界を超えて拡張されます。 組織では、アクセス制御の決定の一部として ID 駆動型シグナルが使用されるようになりました。 Microsoft Entra条件付きアクセスは、組織のポリシーを適用するのに役立つシグナルをまとめます。 ポリシーの決定を実施するときに、さまざまなソースからのシグナルを考慮に入れた Microsoft のゼロ トラスト ポリシー エンジンです。

最も単純な条件付きアクセス ポリシーには 、if-then ステートメントが 含まれます。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。 たとえば、ユーザーが Microsoft 365 などのアプリケーションまたはサービスにアクセスする場合は、アクセスを取得するために多要素認証を実行する必要があります。

ID 駆動信号には、次のものが含まれます。

  • ユーザーまたはグループのメンバーシップ
  • IP の位置情報
  • デバイスのコンプライアンス
  • アプリケーション
  • リアルタイムおよび計算されたリスク検出

条件付きアクセス ポリシーの意思決定..

条件付きアクセスは、初期認証が完了した後に適用されます。 これは、サービス拒否 (DoS) 攻撃などのシナリオに対するorganizationの防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセスを決定できます。

条件付きアクセスコンプライアンス

組織のデータを保護するには、データの損失を防ぐ必要があります。 データ損失防止 (DLP) は、保護されていないシステムまたはデバイスから組織のデータにアクセスできない場合にのみ有効です。 アプリ保護ポリシーは、条件付きアクセス (CA) で使用して、組織データなどの保護されたリソースへのアクセスを許可する前に、これらのポリシーがサポートされるだけでなく、クライアント アプリケーションでも適用されるようにすることができます。 このアプローチにより、Windows、Android、iOS などの個人用デバイスを持つエンド ユーザーは、Microsoft Edge for Businessを含む APP で管理されたアプリケーションを使用して、個人用デバイスの完全な管理を必要とせずにMicrosoft Entra リソースにアクセスできます。

次の手順を使用して、Microsoft Entra条件付きアクセス ポリシーを使用してMicrosoft Edge for Businessをセキュリティで保護します。

このシナリオでは、Microsoft Intuneを使用して条件付きアクセス ポリシーを作成します。 ポリシーを作成するには、次の手順を実行する必要があります。

  1. Microsoft Intune管理センターに移動します。

  2. [ Endpoint security>Conditional Access>新しいポリシーを作成する] を選択します。

  3. [ 条件付きアクセス ポリシー ] ウィンドウで、次の詳細を設定します。

    • 名前: セキュリティで保護されたエンタープライズ ブラウザー ポリシー
    • ユーザー: ポリシーを使用する専用のすべてのユーザーまたは特定のグループ。
    • ターゲット リソース:Cloud Apps - Office 365
    • 条件:
      • デバイス プラットフォーム: 含める - Windows、Android、iOS
      • クライアント アプリ: ブラウザー
      • デバイスのフィルター: Exclude - is Compliant Equals True
    • 叶える: アプリ保護ポリシーを要求する
    • セッション: N/A

    注:

    ポリシーが期待どおりに動作していることを確認するまで、[ レポートのみ ] を [オン] に 設定します。 確認が完了したら、この設定を [オフ] に設定します。

  4. [ 作成] を 選択してポリシーを有効にします。

Windows BYOD のブラウザーのみのアクセス

Bring Your Own Device (BYOD) が当たり前になった時代には、デジタル境界をセキュリティで保護し、シームレスなユーザー エクスペリエンスを確保するために、ブラウザー専用アクセス専用の条件付きアクセス ポリシーを実装することが重要です。

前の手順では、必要なアプリ保護ポリシーとして条件付きアクセスを実装しました。 次の手順では、同じリソース (この例では O365) にデスクトップ アプリからアクセスしないようにポリシーを構成します。 モバイル アプリでも同様の方法を使用できます。 ただし、モバイル アプリではアプリ保護ポリシーもサポートされているため、モバイル アプリからのアクセスをブロックし、ブラウザーへのアクセスのみを許可するのではなく、シナリオを確認することが重要です。

  1. Microsoft Intune管理センターに移動します。

  2. [ Endpoint security>Conditional Access>新しいポリシーを作成する] を選択します。

  3. この新しいポリシーでは、デスクトップ アプリからのアクセスをマネージド デバイスのみに制限します。 ターゲット リソースを選択し、このページの例に従ってOffice 365選択したアプリを選択します。

    条件付きアクセス ポリシー - 管理センター Microsoft Intune。

  4. デバイス プラットフォームを選択し、[Windows] を選択します。

    デバイス プラットフォーム - 条件付きアクセス ポリシー - Microsoft。

  5. [ クライアント アプリ ] を選択し、[ モバイル アプリとデスクトップ クライアント] を選択します。

    注:

    レガシ認証クライアントの場合は、3 つ目の CA を作成してブロックするだけです。 それは顧客次第です。 この例では、デスクトップ アプリにのみ影響します。 *

    デバイス プラットフォーム - 条件付きアクセス ポリシー - 管理センター Microsoft Intune。

  6. [ 許可] を選択し、[ デバイスを準拠としてマークする必要があります ] を選択します。これにより、登録済みデバイスと準拠デバイスに対してのみデスクトップ アプリ経由でアクセスできるようになります。

    許可 - 条件付きアクセス ポリシー - 管理センター Microsoft Intune。

    注:

    おそらく、この最後のコントロールでは、お客様は MFA やその他のオプションも追加する必要があります。*

  7. [完了] を選択>[作成] を選択し、前の手順で実行した条件付きアクセス ポリシーの作成を完了します。

次の手順

アプリ保護ポリシーを作成する手順 2.

手順 2 に進み、アプリ保護ポリシーを作成します。