条件付きアクセスの使用について学習する

  • 4 分

Intune または Configuration Manager を使用することで、組織が適切な資格情報を使用して会社のデータにアクセスして共有するようにします。

Intune での条件付きアクセス

Intune には、次の種類の条件付きアクセスが用意されています。

  • デバイスベースの条件付きアクセス
    • Exchange On-Premises の条件付きアクセス
    • ネットワーク アクセス制御に基づく条件付きアクセス
    • デバイスのリスクに基づく条件付きアクセス
    • Windows PC の条件付きアクセス
      • 企業所有
      • Bring Your Own Device (BYOD)
  • アプリベースの条件付きアクセス

共同管理を使用した条件付きアクセス

共同管理では、Intune でネットワーク内のすべてのデバイスを評価し、どの程度信頼できるかを判断します。 この評価は次の 2 つの方法で行われます。

  1. Intune で、デバイスまたはアプリが管理されており、安全に構成されていることが確認されます。 この確認は、組織のコンプライアンス ポリシーを設定する方法によって異なります。 たとえば、すべてのデバイスで暗号化が有効になっており、脱獄されていないことを確認します。

    • この評価はセキュリティ違反前のものであり、構成ベースとなります。

    • Configuration Manager は、共同管理デバイスに対しては、たとえば、必須の更新プログラムやアプリのコンプライアンスなど、構成に基づいても評価を行います。 Intune では、この評価を独自の判断と組み合わせます。

  2. Intune で、デバイス上のアクティブなセキュリティ インシデントを検出します。 これでは、Microsoft Defender for Endpoint (旧 Microsoft Defender Advanced Threat Protection または Windows Defender ATP) やその他のモバイル脅威対策プロバイダーのインテリジェント セキュリティが使用されます。 これらのパートナーは、デバイス上で継続的な行動分析を実行します。 この分析ではアクティブなインシデントが検出されてから、この情報が、リアルタイムでのコンプライアンスの評価のために Intune に渡されます。

    • この評価はセキュリティ違反後のものであり、インシデント ベースとなります。

条件付きアクセスの一般的な使用方法

組織で条件付きアクセスのコンプライアンスを推進するために、関連するコンプライアンス ポリシーを構成する必要があります。 条件付きアクセスは、一般に、Exchange へのアクセスの許可またはブロック、ネットワークへのアクセスの制御、または Mobile Threat Defense ソリューションとの統合などを行うために使用されます。

デバイスベースの条件付きアクセス

Intune と Microsoft Entra ID は連携して、管理対象および準拠デバイスのみがメール、Office 365 サービス、サービスとしてのソフトウェア (SaaS) アプリ、およびオンプレミス アプリにアクセスできるようにします。 さらに、ドメイン参加済みコンピューター、または Intune に登録されているモバイル デバイスのみが Office 365 サービスにアクセスできるように、Microsoft Entra ID でポリシーを設定できます。

Intune には、デバイスのコンプライアンス対応状態を評価する、デバイス コンプライアンス ポリシーの機能があります。 コンプライアンスの状態は Microsoft Entra ID に報告され、ユーザーが会社のリソースにアクセスしようとしたときに Microsoft Entra ID で作成された条件付きアクセス ポリシーを適用するために使用されます。

ネットワーク アクセス制御に基づく条件付きアクセス

Intune は Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーと統合でき、Intune 登録とデバイスのコンプライアンス対応状態に基づいたアクセス制御を提供します。

ユーザーは、使用しているデバイスが管理され、Intune デバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、会社の Wi-Fi や VPN リソースへのアクセスを許可または拒否されます。

デバイスのリスクに基づく条件付きアクセス

Intune は、モバイル デバイス上のマルウェア、トロイの木馬、およびその他の脅威を検出するためのセキュリティ ソリューションを提供する Mobile Threat Defense ベンダーと提携しました。

Intune と Mobile Threat Defense の統合のしくみ

モバイル デバイスにモバイル脅威防御エージェントがインストールされている場合、モバイル デバイス自体で脅威が検出されると、コンプライアンスの状態メッセージがエージェントから Intune に返されます。

Intune とモバイル脅威防御の統合は、デバイスのリスクに基づく条件付きアクセスの決定の重要な要素です。

Windows PC の条件付きアクセス

PC の条件付きアクセスによって、モバイル デバイスで使用できるような機能が提供されます。 Intune を使用して PC を管理するときに条件付きアクセスを使用する方法について説明します。

企業所有

  • Microsoft Entra ハイブリッド参加済み:AD グループ ポリシーまたは Configuration Manager を使って PC を既に管理している方法におおむね満足している組織では、一般的にこのオプションが使用されます。

  • Microsoft Entra ドメイン参加済みおよび Intune 管理:このシナリオは、クラウドファースト (つまり、主にクラウド サービスを使い、オンプレミス インフラストラクチャの使用を減らすことを目的とする) またはクラウド専用 (オンプレミス インフラストラクチャなし) を望む組織向けです。 Microsoft Entra 参加はハイブリッド環境で適切に機能し、クラウドとオンプレミスの両方のアプリやリソースにアクセスできます。 デバイスは Microsoft Entra ID に参加し、Intune に登録されます。これは、企業リソースにアクセスするときに条件付きアクセス条件として使用できます。

Bring Your Own Device (BYOD)

  • Workplace Join と Intune 管理: この場合、ユーザーは個人のデバイスを参加させて、会社のリソースやサービスにアクセスできます。 Workplace Join を使用して Intune MDM にデバイスを登録すると、デバイスレベルのポリシーを受け取ることができます。これは、条件付きアクセス条件を評価するためのもう 1 つのオプションです。

アプリベースの条件付きアクセス

Intune と Microsoft Entra ID は連携して、管理対象アプリのみが会社の電子メールやその他の Office 365 サービスにアクセスできるようにします。