次の方法で共有

Surface Hub の条件付きアクセス

条件付きアクセスとは

条件付きアクセスは、組織が企業リソースへのアクセスを許可またはブロックするポリシーを構成できるようにするMicrosoft Entra機能です。 これらのポリシーでは、 割り当てアクセス制御に基づいて if-then ステートメントが使用されます。 Surface Hub デバイス アカウントに互換性のない条件付きアクセス ポリシーを適用すると、次の問題が発生する可能性があります。

  • Surface Hub にデバイス アカウントを追加できない
  • ようこそ画面の予定表が Exchange と同期できない
  • Teams Rooms クライアントがサインインしない

このページのガイダンスに従って、Surface Hub デバイス アカウントが条件付きアクセスと対話し、問題を効果的にトラブルシューティングする方法を理解します。

デバイス アカウントと条件付きアクセス ポリシー

Surface Hub デバイス アカウント は、会議出席依頼を受け取り、Teams 会議に参加するために使用されます。 条件付きアクセス ポリシーを作成する場合は、デバイス アカウントがブロックされないように、次のキー割り当てとアクセス制御を検討してください。

条件付きアクセスのキー割り当て

クラウド アプリ

Surface Hub デバイス アカウントでは、サインイン時に次の クラウド アプリ が使用されます。 中断を防ぐために、条件付きアクセス ポリシーでこれらのリソースへのサインインが許可されていることを確認します。

  • Office 365
  • Office 365 Exchange Online
  • Office 365 SharePoint Online (これにはOneDrive for Businessが含まれます)
  • グラフ エクスプローラー
  • Microsoft Teams

条件

Surface Hub は次の 条件に含まれます。

  • デバイス プラットフォーム - Windows
  • クライアント アプリ - モバイル アプリとデスクトップ

Surface Hub と互換性のないアクセス制御

Surface Hub デバイス アカウントは、次の許可とセッション アクセスの制御を必要とする条件付きアクセス ポリシーと互換性がありません。 すべての Surface Hub デバイス アカウントをこのようなポリシーから 除外 する必要があります。

叶える

  • 多要素認証を要求する
  • 認証強度が必要 (プレビュー)
  • デバイスを準拠としてマークする必要がある
  • ハイブリッド参加済みデバイスMicrosoft Entra必要
  • 承認済みクライアント アプリを要求する
  • アプリ保護ポリシーを要求する
  • パスワードの変更を要求する

セッション

  • アプリによって適用される制限を使用する
  • 条件付きアクセス アプリ制御を使用する

割り当てとアクセス制御の詳細については、 条件付きアクセス ポリシーの構築 に関する記事を参照してください。

条件付きアクセス ポリシーに関するサインインの問題のトラブルシューティング

Surface Hub デバイス アカウントでサインイン エラーが発生した場合は、次のツールと方法を使用して、条件付きアクセス ポリシーの競合を診断して解決します。

  1. Azure サインイン ログ: Azure サインイン ログ を確認して、障害や中断を特定します。 多くの場合、条件付きアクセス ポリシーがサインインをブロックしているかどうかを確認できます。
  2. What If ツール: "What If" ツールを使用して、デバイス アカウントに適用される条件付きアクセス ポリシーを決定します。 ユーザーとして Surface Hub デバイス アカウントを選択し、既定の [任意のクラウド アプリ] を選択したままにします。 詳細については、「 What If ツールを使用した条件付きアクセスのトラブルシューティング」を参照してください。

Surface Hub デバイス アカウントを選択し、それに対して What If ツールを実行する方法を示す Gif 画像。

条件付きアクセス ポリシーを確認する

Azure サインイン ログと "What If" ツールで、アカウントに影響を与える条件付きアクセス ポリシーが表示されない場合は、すべての条件付きアクセス ポリシーを手動で確認して、Surface Hub デバイス アカウントが影響を受けないことを確認します。

手順 1: Microsoft Intuneで条件付きアクセス ポリシーを見つける

Microsoft Intune内のテナントの条件付きアクセス ポリシーに移動します。 ユーザーに正しい ロール が割り当てられていることを確認します。

  1. 管理センター Microsoft Intuneサインインする
  2. [デバイス >条件付きアクセス] に移動します

テナントの条件付きアクセス ポリシーの場所を示す画像。

手順 2: ポリシーの割り当てとアクセス制御を確認する

各条件付きアクセス ポリシーを選択し、 その割り当てアクセス制御を確認します。 上記の要件を使用して、ポリシーが Surface Hub と互換性があるかどうかを判断します。 そうでない場合は、デバイス アカウントをそのようなポリシーから 除外 する必要があります。

Surface Hub の互換性について各条件付きアクセス ポリシーを確認する方法を示す Gif 画像。

[オン] または [レポートのみ] の状態のポリシーは、Surface Hub デバイス アカウントに影響する可能性があります。

サポートされていない条件付きアクセス ポリシーからデバイス アカウントを除外する

Surface Hub デバイス アカウントでサポートされるポリシーの数が限られているため、サインインを許可するには、多くの場合、条件付きアクセス ポリシーから除外する必要があります。 次の手順に従います。

  1. 条件付きアクセス ポリシーで、[ 割り当て] に移動し、[ ユーザー] > [除外] を選択します。
  2. [ ユーザーとグループ] を選択します
  3. 各 Surface Hub デバイス アカウントまたはデバイス アカウントのグループを選択します。
  4. 画面の下部にある [ 保存] をクリックします

重要

Surface Hub デバイス オブジェクトではなく、Surface Hub デバイス アカウント ユーザー オブジェクトを選択してください。

条件付きアクセス ポリシーからユーザー アカウントを除外する手順については、この ビデオ をご覧ください。

条件付きアクセス ポリシーから Surface Hub デバイス アカウントを除外する方法を示す画像。