Intune での条件付きアクセスの一般的な使用方法
Intune で使用できる条件付きアクセス ポリシーには、デバイスベースの条件付きアクセスとアプリベースの条件付きアクセスの 2 種類があります。 それぞれをサポートするには、関連する Intune ポリシーを構成する必要があります。 Intune ポリシーが設定されて展開されると、条件付きアクセスを使用して、Exchange へのアクセスを許可またはブロックしたり、ネットワークへのアクセスを制御したり、モバイル脅威防御ソリューションと統合したりできます。
この記事は、Intune のモバイル "デバイス" のコンプライアンス機能と Intune のモバイル "アプリケーション" 管理 (MAM) 機能の使用方法を理解するのに役立ちます。
注:
条件付きアクセスは、Azure AD Premium ライセンスに含まれる Azure Active Directory (Azure AD) の機能です。 Intune は、モバイル デバイス コンプライアンスとモバイル アプリ管理をソリューションに加えて、この機能を強化します。 Intune からアクセスされる条件付きアクセス ノードは、Azure AD からアクセスされるノードと同じです。
デバイスベースの条件付きアクセス
Intune と Azure AD が連携すると、マネージド デバイスと準拠しているデバイスのみが組織の電子メール、Microsoft 365 サービス、サービスとしてのソフトウェア (SaaS) アプリ、およびオンプレミス アプリにアクセスできるようになります。 また、ドメインに参加しているコンピューターまたは Intune に登録されているモバイル デバイスのみが Microsoft 365 サービスにアクセスできるように、Azure AD 内にポリシーを設定できます。
Intune では、デバイス コンプライアンス ポリシーを展開して、デバイスが予想される構成とセキュリティの要件を満たしているかどうかを判断します。 コンプライアンス ポリシーの評価により、デバイスのコンプライアンス状態が決定され、Intune と Azure AD の両方に報告されます。 Azure AD では、条件付きアクセス ポリシーがデバイスのコンプライアンス状態を使用して、そのデバイスから組織のリソースへのアクセスを許可するかブロックするかを決定できます。
Exchange Online およびその他の Microsoft 365 製品のデバイス ベースの条件付きアクセス ポリシーは、Microsoft Intune管理センターを通じて構成されます。
Azure Active Directory で条件付きアクセスを使用するサポートされるブラウザーについては、こちらを参照してください。
Intune のデバイス コンプライアンスの詳細については、こちらを参照してください。
Azure Active Directory の条件付きアクセスでサポートされるブラウザーについては、こちらを参照してください。
注:
ユーザーが自分の Android の個人所有の仕事用プロファイルのデバイスでブラウザー アプリからアクセスするコンテンツに対してデバイス ベースのアクセスを有効にした場合、2021 年 1 月より前に登録したユーザーは、次のようにブラウザー アクセスを有効にする必要があります。
- ポータル サイト アプリを起動します。
- メニューから [設定] ページに移動します。
- [ブラウザー アクセスを有効にする] セクションで、[有効] ボタンをタップします。
- ブラウザー アプリを閉じてから再起動します。
これにより、ブラウザー アプリでアクセスできますが、アプリ内で開くブラウザー WebView にはアクセスできません。
Microsoft Intune を制御するために条件付きアクセスで使用できるアプリケーション
Azure AD ポータルで条件付きアクセスを構成する場合、次の 2 つのアプリケーションから選択できます。
- Microsoft Intune - このアプリケーションは、Microsoft Intune管理センターとデータ ソースへのアクセスを制御します。 Microsoft Intune管理センターとデータ ソースをターゲットにする場合は、このアプリケーションで許可/制御を構成します。
- Microsoft Intune Enrollment - このアプリケーションを使用すると、登録ワークフローを制御できます。 登録プロセスを対象にする場合は、このアプリケーションで許可または制御を構成します。 詳細については、「Intune へのデバイスの登録で多要素認証を要求する」を参照してください。
ネットワーク アクセス制御に基づく条件付きアクセス
Intune は Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーと統合され、Intune 登録とデバイスのコンプライアンス対応状態に基づいたアクセス制御が提供されます。
ユーザーは、使用しているデバイスが管理され、Intune デバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、会社の Wi-Fi や VPN リソースへのアクセスを許可または拒否されます。
- NAC と Intune の統合について詳しくは、こちらをご覧ください。
デバイスのリスクに基づく条件付きアクセス
Intune は、モバイル デバイス上のマルウェア、トロイの木馬、およびその他の脅威を検出するためのセキュリティ ソリューションを提供する Mobile Threat Defense ベンダーと提携しました。
Intune と Mobile Threat Defense の統合のしくみ
モバイル デバイスに Mobile Threat Defense エージェントがインストールされている場合、モバイル デバイスで脅威が検出されると、コンプライアンス対応状態のメッセージがエージェントから Intune に返されます。
Intune と Mobile Threat Defense の統合は、デバイスのリスクに基づいた条件付きアクセスの決定において重要な役割を果たします。
- Intune Mobile Threat Defense について詳しくは、こちらをご覧ください。
Windows PC の条件付きアクセス
PC の条件付きアクセスでは、モバイル デバイスで利用できる機能と同様の機能が提供されます。 Intune で PC を管理する場合に条件付きアクセスを使用する方法について説明します。
企業所有
ハイブリッド Azure AD 参加済み: この方法は、AD のグループ ポリシーや Configuration Manager を使用して PC を管理している現在のやり方におおむね満足している組織でよく使用されます。
Azure AD ドメインへの参加と Intune の管理: このシナリオは、クラウドファーストにすることを望んでいる (つまり、主にクラウド サービスを使用し、オンプレミスのインフラストラクチャの使用を減らすことを目標としている) 組織や、クラウドのみを使用する (オンプレミスのインフラストラクチャがない) 組織向けです。 Azure AD への参加はハイブリッド環境で適切に機能し、クラウドとオンプレミスのアプリとリソースの両方にアクセスできるようにします。 Azure AD に参加したデバイスは Intune に登録されます。会社のリソースにアクセスするときに、これを条件付きアクセスの基準として使用できます。
Bring Your Own Device (BYOD)
- Workplace Join と Intune 管理: この場合、ユーザーは個人のデバイスを参加させて、会社のリソースやサービスにアクセスできます。 Workplace Join を使用してデバイスを Intune MDM に登録し、デバイスレベルのポリシーを受け取ることができます。これは、条件付きアクセスの基準を評価する別のオプションです。
Azure Active Directory のデバイス管理の詳細については、こちらを参照してください。
アプリ ベースの条件付きアクセス
Intune と Azure AD が連携すると、管理対象アプリのみが会社の電子メールやその他の Microsoft 365 サービスにアクセスできるようになります。
- Intune を使用したアプリ ベースの条件付きアクセスについて詳しくは、こちらをご覧ください。
Exchange On-Premises での Intune 条件付きアクセス
条件付きアクセスを使用すると、デバイス コンプライアンス ポリシーと登録状態に基づいて、Exchange On-Premises へのアクセスを許可またはブロックすることができます。 条件付きアクセスをデバイス コンプライアンス ポリシーと組み合わせて使用した場合は、準拠デバイスのみが Exchange On-Premises へのアクセスを許可されます。
条件付きアクセスの詳細設定を構成して、次のような細かい制御を行うことができます。
特定のプラットフォームを許可またはブロックする。
Intune で管理されていないデバイスを即時ブロックする。
デバイス コンプライアンスと条件付きアクセス ポリシーが適用されると、Exchange On-Premises へのアクセスで使用されるデバイスがチェックされます。
デバイスが条件を満たしていない場合、エンド ユーザーは、デバイス非準拠の原因である問題を修正するためのデバイス登録プロセスを提示されます。
注:
2020 年 7 月以降、Exchange Connector のサポートは非推奨とされ、Exchange のハイブリッド先進認証 (HMA) に置き換えられます。 HMA を使用する場合、Intune をセットアップして Exchange Connector を使用する必要はありません。 この変更により、Intune用の Exchange コネクタを構成および管理する UI は、サブスクリプションで Exchange コネクタを既に使用していない限り、Microsoft Intune管理センターから削除されています。
ご使用の環境に Exchange Connector が設定されている場合、Intune テナントの使用は引き続きサポートされ、その構成をサポートする UI に引き続きアクセスできます。 詳細については、「Exchange オンプレミス コネクタのインストール」を参照してください。 引き続きコネクタを使用するか、HMA を構成してから、コネクタをアンインストールすることができます。
ハイブリッド先進認証は、以前に Intune の Exchange Connector によって提供されていた機能であるデバイス ID の Exchange レコードへのマッピングを備えています。 このマッピングは、Intune で行った構成、または Intune と Exchange をブリッジする Intune コネクタの要件の外部で行われるようになりました。 HMA では、"Intune" 固有の構成 (コネクタ) を使用するための要件が削除されています。
Intune ロールとは
Intune はデバイスの状態を評価し、管理します。
Exchange サーバー ロールとは
Exchange サーバーでは、デバイスを検疫に移動するための API とインフラストラクチャを提供しています。
重要
デバイスのコンプライアンスを評価できるようにするために、デバイスを使用するユーザーにコンプライアンス プロファイルと Intune ライセンスを割り当てる必要がある点に注意してください。 コンプライアンス ポリシーがユーザーに展開されていない場合、デバイスは準拠したものと見なされ、アクセス制限は適用されません。