条件付きアクセス ポリシーの設定

条件付きアクセスとは、コンテンツへのアクセスを許可する前に特定の条件を満たすことを要求することで、システム内の規制対象コンテンツを保護することです。 条件付きアクセス ポリシーは、簡単に言えば、if-then ステートメントです。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。 たとえば、給与管理者は給与計算アプリケーションにアクセスしたいと考えています。そのためには多要素認証 (MFA) を実行する必要があります。

条件付きアクセスを使用すると、次の 2 つの主要な目標を達成できます。

• 場所や時間を問わずユーザーが生産性を高めることができるようにする。
• 組織の資産を保護する。

条件付きアクセス ポリシーを使用すると、必要に応じて適切なアクセス制御を適用して、組織のセキュリティを維持し、不要なときにユーザーの邪魔にならないようにすることができます。

ユーザーが再認証を求められる頻度は、セッションの有効期間の構成設定Microsoft Entra応じて異なります。 資格情報を覚えておくのは便利ですが、個人用デバイスを使用したエンタープライズ シナリオのデプロイの安全性を低くすることもできます。 ユーザーを保護するために、クライアントが多要素認証資格情報Microsoft Entra要求する頻度を高めることができます。 条件付きアクセス のサインイン頻度を使用して、この動作を構成できます。

クラウド PC に対して条件付きアクセス ポリシーを割り当てる

条件付きアクセス ポリシーは、既定ではテナントに対して設定されません。 次のいずれかのプラットフォームを使用して、CA ポリシーをクラウド PC ファーストパーティ アプリのターゲットにすることができます。

• Azure. 詳細については、「条件付きアクセスのMicrosoft Entra」を参照してください。
• Microsoft Intune。 次の手順はこのプロセスを示しています。 詳細については、「条件付きアクセスと Intune について」を参照してください。

使用する方法に関係なく、ポリシーはクラウド PC エンド ユーザー ポータルと、クラウド PC への接続に適用されます。

1. Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ>] [条件付きアクセス>] [新しいポリシーの作成] を選択します。

2. 特定の条件付きアクセス ポリシーの [名前] を指定します。

3. [ ユーザー] で、[ 0 人のユーザーとグループ] を選択します。

4. [含める] タブで、[選択] で [ユーザーとグループチェックユーザーとグループ>>を選択し、選択した 0 人のユーザーとグループを選択します。

5. 開いた新しいウィンドウで、CA ポリシーを対象とする特定のユーザーまたはグループを検索して選択し、[選択] を 選択します。

6. [ ターゲット リソース] で、[ターゲット リソースが選択されていない] を選択します。

7. [含める] タブで、[選択] で [アプリ>の選択] を選択し、[なし] を選択します。

8. [ 選択 ] ウィンドウで、保護しようとしているリソースに基づいて次のアプリを検索して選択します。

   • Windows 365 (アプリ ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5)。 "クラウド" を検索して、このアプリを見つけることもできます。 このアプリは、ユーザーのリソースの一覧を取得するとき、およびユーザーが再起動などのクラウド PC でアクションを開始するときに使用されます。
   • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。 このアプリは 、Windows Virtual Desktop としても表示される場合があります。 このアプリは、接続中とクライアントがサービスに診断情報を送信するときに、Azure Virtual Desktop Gateway に対する認証に使用されます。
   • Microsoft リモート デスクトップ (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) と Windows Cloud Login (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 これらのアプリは、プロビジョニング ポリシーで シングル サインオンを構成 する場合にのみ必要です。 これらのアプリは、クラウド PC に対するユーザーの認証に使用されます。

   これらのアプリ間で条件付きアクセス ポリシーを照合することをお勧めします。 これにより、一貫性のあるエクスペリエンスを実現するために、ポリシーがクラウド PC エンド ユーザー ポータル、ゲートウェイとクラウド PC への接続に確実に適用されます。 アプリを除外する場合は、これらのアプリをすべて選択する必要もあります。

   重要

   SSO が有効になっている場合、クラウド PC への認証では現在、Microsoft リモート デスクトップ Entra ID アプリが使用されます。 今後の変更により、認証が Windows Cloud Login Entra ID アプリに移行されます。 スムーズに移行するには、両方の Entra ID アプリを CA ポリシーに追加する必要があります。

   注:

   条件付きアクセス ポリシーを構成するときに Windows Cloud ログイン アプリが表示されない場合は、次の手順を使用してアプリを作成します。 これらの変更を行うには、サブスクリプションに対する所有者または共同作成者のアクセス許可が必要です。

   1. Azure Portal にサインインします。
   2. Azure Services の一覧から [ サブスクリプション] を 選択します。
   3. サブスクリプション名を選択します。
   4. [ リソース プロバイダー ] を選択し、[ Microsoft.DesktopVirtualization] を選択します。
   5. 上部にある [ 登録 ] を選択します。

   リソース プロバイダーが登録されると、ポリシーを適用するアプリを選択すると、条件付きアクセス ポリシー構成に Windows Cloud Login アプリが表示されます。 Azure Virtual Desktop を使用していない場合は、Windows クラウド ログイン アプリを使用できるようになった後に、Microsoft.DesktopVirtualization リソース プロバイダーの登録を解除できます。

9. ポリシーを微調整する場合は、[ 許可] で、 選択した 0 個のコントロールを選択します。

10. [許可] ウィンドウで、このポリシー > [選択] に割り当てられているすべてのオブジェクトに適用するアクセス許可オプションまたはブロック アクセス オプションを選択します。

11. 最初にポリシーをテストする場合は、[ ポリシーの有効化] で [ レポートのみ] を選択します。 [オン] に設定した場合、ポリシーを作成するとすぐに適用されます。

12. [作成] を選択して、ポリシーを作成します。

アクティブなポリシーと非アクティブなポリシーの一覧は、条件付きアクセス UI の [ポリシー] ビューで確認できます。

サインイン頻度を構成する

サインイン頻度ポリシーを使用すると、Microsoft Entra ベースのリソースにアクセスするときにユーザーが ID を再度証明する必要がある期間を設定できます。 これは、環境をセキュリティで保護するのに役立ち、ローカル OS で MFA が必要ない場合や、非アクティブの後に自動的にロックされない可能性がある個人用デバイスにとって特に重要です。

サインイン頻度ポリシーでは、選択したMicrosoft Entra アプリに基づいて動作が異なります。

アプリ名	アプリ ID	動作
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	ユーザーがクラウド PC の一覧を取得したとき、およびユーザーがクラウド PC で再起動などのアクションを開始するときに、再認証を適用します。
Azure 仮想デスクトップ	9cdead84-a844-4324-93f2-b2e6bb768d07	接続中にユーザーが Azure Virtual Desktop Gateway に対して認証を行うときに、再認証を適用します。
Microsoft リモート デスクトップ Windows クラウド ログイン	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	シングル サインオンが有効になっているときにユーザーがクラウド PC にサインインするときに、再認証を適用します。 クライアントは間もなく、Microsoft リモート デスクトップ アプリを使用して Windows Cloud Login アプリに切り替えてクラウド PC に対して認証するため、両方のアプリを一緒に構成する必要があります。

ユーザーが再度サインインするように求められる期間を構成するには:

1. 前に作成したポリシーを開きます。
2. [ セッション] で、 選択した 0 つのコントロールを選択します。
3. [ セッション ] ウィンドウで、[ サインイン頻度] を選択します。
4. [ 定期的な再認証] または [ 毎回] を選択します。
   • [定期的な再認証] を選択した場合は、ユーザーが再び > [選択] を選択するように求められる期間の値を設定します。 たとえば、値を 1 に設定し、単位を Hours に設定すると、接続が最後の接続から 1 時間以上後に起動された場合、多要素認証が必要になります。
   • [すべての時間] オプションは現在パブリック プレビューで使用でき、クラウド PC でシングル サインオンが有効になっている場合に、Microsoft リモート デスクトップ アプリと Windows Cloud Login アプリに適用された場合にのみサポートされます。 [毎回] を選択すると、ユーザーは、Microsoft リモート デスクトップと Windows Cloud Login アプリに対して最後に認証されてから 10 分から 15 分後に再認証するように求められます。
5. ページの下部にある [保存] を選択 します。

注:

• 再認証は、ユーザーがリソースに対して認証する必要がある場合にのみ発生します。 接続が確立されると、接続が構成したサインインの頻度よりも長く続いた場合でも、ユーザーにメッセージが表示されません。
• サインイン頻度の後にセッションを強制的に再確立するネットワークの中断がある場合、ユーザーは再認証する必要があります。 これにより、不安定なネットワークで認証要求が頻繁に発生する可能性があります。

次の手順

RDP デバイス リダイレクトの管理