次の方法で共有

条件付きアクセス ポリシーの設定

  • [アーティクル]

条件付きアクセスとは、コンテンツへのアクセスを許可する前に特定の条件を満たすことを要求することで、システム内の規制対象コンテンツを保護することです。 条件付きアクセス ポリシーは、簡単に言えば、if-then ステートメントです。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。 たとえば、給与管理者は給与計算アプリケーションにアクセスしたいと考えています。そのためには多要素認証 (MFA) を実行する必要があります。

条件付きアクセスを使用すると、次の 2 つの主要な目標を達成できます。

  • 場所や時間を問わずユーザーが生産性を高めることができるようにする。
  • 組織の資産を保護する。

条件付きアクセス ポリシーを使用すると、必要に応じて適切なアクセス制御を適用して、組織のセキュリティを維持し、不要なときにユーザーの邪魔にならないようにすることができます。

ユーザーが再認証を求められる頻度は、 Microsoft Entra セッションの有効期間の構成設定によって異なります。 資格情報を覚えておくのは便利ですが、個人用デバイスを使用したエンタープライズ シナリオのデプロイの安全性を低くすることもできます。 ユーザーを保護するために、クライアントが Microsoft Entra 多要素認証の資格情報をより頻繁に要求することを確認できます。 条件付きアクセス のサインイン頻度を使用して、この動作を構成できます。

クラウド PC に対して条件付きアクセス ポリシーを割り当てる

条件付きアクセス ポリシーは、既定ではテナントに対して設定されません。 次のいずれかのプラットフォームを使用して、CA ポリシーをクラウド PC ファーストパーティ アプリのターゲットにすることができます。

使用する方法に関係なく、ポリシーはクラウド PC エンド ユーザー ポータルと、クラウド PC への接続に適用されます。

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>条件付きアクセス>新しいポリシーを作成する] を選択します。

  2. 特定の条件付きアクセス ポリシーの [名前] を指定します。

  3. [ ユーザー] で、[ 0 人のユーザーとグループ] を選択します

  4. [含める] タブで、[ユーザーとグループの選択] を選択>[ユーザーとグループ] をオンにします>[選択] の下にある [0 人のユーザーとグループを選択] を選択します

  5. 開いた新しいウィンドウで、CA ポリシーを対象とする特定のユーザーまたはグループを検索して選択し、[選択] を 選択します。

  6. [ ターゲット リソース] で、[ターゲット リソースが選択されていない] を選択します

  7. [含める] タブで、[アプリの選択] を選択し>[選択] で [なし] を選択します

  8. [ 選択 ] ウィンドウで、保護しようとしているリソースに基づいて次のアプリを検索して選択します。

    • Windows 365 (アプリ ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5)。 "クラウド" を検索して、このアプリを見つけることもできます。 このアプリは、ユーザーのリソースの一覧を取得するとき、およびユーザーが再起動などのクラウド PC でアクションを開始するときに使用されます。
    • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。 このアプリは 、Windows Virtual Desktop としても表示される場合があります。 このアプリは、接続中とクライアントがサービスに診断情報を送信するときに、Azure Virtual Desktop Gateway に対する認証に使用されます。
    • Microsoft Remote Desktop (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) と Windows Cloud Login (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 これらのアプリは、プロビジョニング ポリシーで シングル サインオンを構成 する場合にのみ必要です。 これらのアプリは、クラウド PC に対するユーザーの認証に使用されます。

    これらのアプリ間で条件付きアクセス ポリシーを照合することをお勧めします。 これにより、一貫性のあるエクスペリエンスを実現するために、ポリシーがクラウド PC エンド ユーザー ポータル、ゲートウェイとクラウド PC への接続に確実に適用されます。 アプリを除外する場合は、これらのアプリをすべて選択する必要もあります。

    重要

    SSO を有効にすると、クラウド PC への認証で Microsoft Remote Desktop Entra ID アプリが現在使用されます。 今後の変更により、認証が Windows Cloud Login Entra ID アプリに移行されます。 スムーズに移行するには、両方の Entra ID アプリを CA ポリシーに追加する必要があります。

    注:

    条件付きアクセス ポリシーを構成するときに Windows Cloud ログイン アプリが表示されない場合は、次の手順を使用してアプリを作成します。 これらの変更を行うには、サブスクリプションに対する所有者または共同作成者のアクセス許可が必要です。

    1. Azure Portal にサインインします。
    2. Azure Services の一覧から [ サブスクリプション] を 選択します。
    3. サブスクリプション名を選択します。
    4. [ リソース プロバイダー ] を選択し、[ Microsoft.DesktopVirtualization] を選択します。
    5. 上部にある [ 登録 ] を選択します。

    リソース プロバイダーが登録されると、ポリシーを適用するアプリを選択すると、条件付きアクセス ポリシー構成に Windows Cloud Login アプリが表示されます。 Azure Virtual Desktop を使用していない場合は、Windows クラウド ログイン アプリを使用できるようになった後に、Microsoft.DesktopVirtualization リソース プロバイダーの登録を解除できます。

  9. ポリシーを微調整する場合は、[ 許可] で、 選択した 0 個のコントロールを選択します

  10. [ 許可 ] ウィンドウで、このポリシーに割り当てられているすべてのオブジェクトに適用するアクセス許可オプションまたはブロック アクセス オプションを選択 >選択します。

  11. 最初にポリシーをテストする場合は、[ ポリシーの有効化] で [ レポートのみ] を選択します。 [オン] に設定した場合、ポリシーを作成するとすぐに適用されます。

  12. [作成] を選択して、ポリシーを作成します。

アクティブなポリシーと非アクティブなポリシーの一覧は、条件付きアクセス UI の [ポリシー] ビューで確認できます。

サインイン頻度を構成する

サインイン頻度ポリシーを使用すると、Microsoft Entra ベースのリソースにアクセスするときにユーザーがサインインする必要がある頻度を構成できます。 これは、環境をセキュリティで保護するのに役立ち、ローカル OS で MFA が必要ない場合や、非アクティブの後に自動的にロックされない可能性がある個人用デバイスにとって特に重要です。 ユーザーは、リソースにアクセスするときに Microsoft Entra ID から新しいアクセス トークンが要求された場合にのみ、認証を求められます。

サインイン頻度ポリシーでは、選択した Microsoft Entra アプリに基づいて動作が異なります。

アプリ名 アプリ ID 動作
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 ユーザーがクラウド PC の一覧を取得したとき、およびユーザーがクラウド PC で再起動などのアクションを開始するときに、再認証を適用します。
Azure 仮想デスクトップ 9cdead84-a844-4324-93f2-b2e6bb768d07 接続中にユーザーが Azure Virtual Desktop Gateway に対して認証を行うときに、再認証を適用します。
Microsoft リモート デスクトップ

Windows クラウド ログイン		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 シングル サインオンが有効になっているときにユーザーがクラウド PC にサインインするときに、再認証を適用します。

クライアントは間もなく Microsoft リモート デスクトップ アプリを使用して Windows クラウド ログイン アプリに切り替えてクラウド PC に認証するため、両方のアプリを一緒に構成する必要があります。

ユーザーが再度サインインするように求められる期間を構成するには:

  1. 前に作成したポリシーを開きます。
  2. [ セッション] で、 選択した 0 つのコントロールを選択します
  3. [ セッション ] ウィンドウで、[ サインイン頻度] を選択します。
  4. [ 定期的な再認証] または [ 毎回] を選択します。
    • [ 定期的な再認証] を選択した場合は、新しいアクセス トークンを必要とするアクションを実行するときにユーザーが再度サインインするように求められる期間の値を設定し、[ 選択] を選択します。 たとえば、値を 1 に設定し、単位を Hours に設定すると、最後のユーザー認証から 1 時間以上後に接続が起動された場合、多要素認証が必要になります。
    • [ すべての時間 ] オプションは現在プレビュー段階で使用でき、クラウド PC でシングル サインオンが有効になっている場合に 、Microsoft リモート デスクトップ アプリと Windows Cloud Login アプリに適用された場合にのみサポートされます。 [ 毎回] を選択すると、最後の認証から 5 分から 10 分後に新しい接続を起動するときに、ユーザーに再認証を求められます。
  5. ページの下部にある [保存] を選択 します

注:

  • 再認証は、ユーザーがリソースに対して認証を行う必要があり、新しいアクセス トークンが必要な場合にのみ行われます。 接続が確立されると、接続が構成したサインインの頻度よりも長く続いた場合でも、ユーザーにメッセージが表示されません。
  • 構成したサインイン頻度の後にセッションを強制的に再確立するネットワークの中断がある場合、ユーザーは再認証する必要があります。 これにより、不安定なネットワークで認証要求が頻繁に発生する可能性があります。

次の手順

RDP デバイス リダイレクトの管理