Office 365 サービス用の Active Directory の条件付きアクセスのデバイス ポリシーActive Directory conditional access device policies for Office 365 services

条件付きアクセスでは、複数の要素が正常に機能することが求められます。Conditional access requires multiple pieces to work. これには、特に多要素認証されたユーザー、認証済みデバイス、および準拠しているデバイスが関係してきます。It involves a multi-factor authenticated user, an authenticated device, and a compliant device, among other factors. この記事では、組織における Office 365 サービスへのアクセスの制御に役立つ、デバイス ベースの条件に主に焦点を合わせています。In this article, we primarily focus on device-based conditions that your organization can use to help you control access to Office 365 services.

企業ユーザーは、個人のデバイスから勤務先または学校の Exchange や SharePoint Online などの Office 365 サービスにアクセスすることを望んでいます。Corporate users want to access Office 365 services like Exchange and SharePoint Online at work or school from their personal devices. そのようなアクセスは、セキュリティで保護されている必要があります。You want the access to be secure. 準拠しているデバイスを使用しているユーザーにサービスへのアクセス権を付与しながら、企業のリソースをさらに一層セキュリティで保護された状態にできる、条件付きアクセスのデバイス ポリシーのプロビジョニングが可能です。You can provision conditional access device policies to help make corporate resources more secure, while granting access to services for users who are using compliant devices. Office 365 に対する条件付きアクセス ポリシーは、Microsoft Intune の条件付きアクセス ポータルで設定できます。You can set conditional access policies to Office 365 in the Microsoft Intune conditional access portal.

Azure Active Directory (Azure AD) は 、Office 365 サービスへのアクセス確保に役立つ条件付きアクセス ポリシーを適用します。Azure Active Directory (Azure AD) enforces conditional access policies to help secure access to Office 365 services. 非準拠のデバイスを使用しているユーザーが Office 365 サービスにアクセスできないようにブロックする条件付きアクセス ポリシーを作成できます。You can create a conditional access policy that blocks a user who is using a noncompliant device from accessing an Office 365 service. ユーザーは、サービスへのアクセス権が付与される前に、社内のデバイス ポリシーに準拠している必要があります。The user must conform to the company’s device policies before access to the service is granted. もう一つの方法として、Office 365 サービスにアクセスするにはユーザーによるデバイス登録が必要になる、というポリシーの作成が可能です。Alternately, you can create a policy that requires users to enroll their devices to gain access to an Office 365 service. ポリシーは、組織内のすべてのユーザーに適用することも、いくつかのターゲット グループに制限することもできます。Policies can be applied to all users in an organization, or limited to a few target groups. より多くのターゲット グループを徐々にポリシーに追加できます。You can add more target groups to a policy over time.

デバイス ポリシーを適用するための前提条件として、ユーザーは自分のデバイスを Azure AD デバイス登録サービスに登録する必要があります。A prerequisite for enforcing device policies is that users must register their devices with the Azure AD device registration service. Azure AD デバイス登録サービスに登録するデバイスの多要素認証を有効にする、という選択も可能です。You can opt to turn on multi-factor authentication for devices that register with the Azure AD device registration service. Azure Active Directory デバイス登録サービスには多要素認証をお勧めします。Multi-factor authentication is recommended for the Azure Active Directory device registration service. 多要素認証が有効になっている場合、Azure AD デバイス登録サービスに使用するデバイスを登録しているユーザーは、第 2 要素による認証へのチャレンジが求められます。When multi-factor authentication is turned on, users who register their devices with the Azure AD device registration service are challenged for second-factor authentication.

条件付きアクセス ポリシーのしくみHow does a conditional access policy work?

サポートされているデバイス プラットフォームから、ユーザーが Office 365 サービスへのアクセスを要求すると、Azure AD によってそのユーザーとデバイスが認証されます。When a user requests access to an Office 365 service from a supported device platform, Azure AD authenticates the user and the device. Azure AD は、ユーザーがサービスに対して設定されているポリシーに準拠している場合にのみ、そのサービスへのアクセス権を付与します。Azure AD grants access to the service only if the user conforms to the policy set for the service. 登録されていないデバイスを使用しているユーザーには、登録方法や社内の Office 365 サービスにアクセスするための準拠の方法に関する手順が示されます。Users on devices that are not enrolled are given instructions on how to enroll and become compliant to access corporate Office 365 services. iOS および Android デバイスを使用しているユーザーは、Intune ポータル サイト アプリケーションを使用して自分のデバイスを登録する必要があります。Users on iOS and Android devices are required to enroll their devices by using the Intune Company Portal application. ユーザーがデバイスを登録すると、そのデバイスは Azure AD に登録されます。これでデバイス管理とコンプライアンスについて登録済みの状態となります。When a user enrolls a device, the device is registered with Azure AD and it's enrolled for device management and compliance. Office 365 サービスに対するモバイル デバイスの管理を行うには、Azure AD デバイス登録サービスと Microsoft Intune を併用する必要があります。You must use the Azure AD device registration service with Microsoft Intune for mobile device management for Office 365 services. デバイス ポリシーが適用されている場合、ユーザーが Office 365 サービスにアクセスするにはデバイスの登録が必要です。Device enrollment is required for users to access Office 365 services when device policies are enforced.

ユーザーによるデバイス登録が成功すると、そのデバイスは信頼済みの状態となります。When a user successfully enrolls a device, the device becomes trusted. Azure AD は、認証されたユーザーに社内のアプリケーションへのシングル サインオン アクセスを提供します。Azure AD gives the authenticated user single sign-on access to company applications. Azure AD は、ユーザーが初めてアクセスを要求したときだけでなく、アクセスへの要求を更新するたびに、サービスへのアクセス権を付与するための条件付きアクセス ポリシーを適用します。Azure AD enforces a conditional access policy to grant access to a service not only the first time the user requests access, but every time the user renews a request for access. サインインの資格情報が変更された場合、対象デバイスが紛失するか盗まれた場合、または更新が要求された時点でポリシーの条件が満たされていない場合に、ユーザーはサービスへのアクセスを拒否されます。The user is denied access to services when sign-in credentials are changed, the device is lost or stolen, or the conditions of the policy are not met at the time of request for renewal.

デプロイに関する考慮事項Deployment considerations

デバイスを登録するには、Azure AD デバイス登録サービスを使用する必要があります。You must use the Azure AD device registration service to register devices.

オンプレミスのユーザーの認証が予定されている場合は、Active Directory フェデレーション サービス (AD FS) (バージョン 1.0 以降のバージョン) が必要です。When on-premises users are about to be authenticated, Active Directory Federation Services (AD FS) (version 1.0 and later versions) is required. ID プロバイダーが多要素認証に対応していない場合、Workplace Join への多要素認証は失敗します。Multi-factor authentication for Workplace Join fails when the identity provider is not capable of multi-factor authentication. たとえば、AD FS 2.0 では多要素認証を使用できません。For example, you can't use multi-factor authentication with AD FS 2.0. オンプレミスの AD FS が多要素認証に対応していること、および Azure AD デバイス登録サービスへの多要素認証を有効にする前に、有効な多要素認証方法の準備が整っていることを確認してください。Ensure that the on-premises AD FS works with multi-factor authentication, and that a valid multi-factor authentication method is in place before you turn on multi-factor authentication for the Azure AD device registration service. たとえば、Windows Server 2012 R2 上の AD FS には多要素認証機能があります。For example, AD FS on Windows Server 2012 R2 has multi-factor authentication capabilities. また、Azure AD デバイス登録サービスへの多要素認証を有効にする前に、AD FS サーバー上で有効な認証 (多要素認証) 方法を追加設定することも必要です。You also must set an additional valid authentication (multi-factor authentication) method on the AD FS server before you turn on multi-factor authentication for the Azure AD device registration service. AD FS でサポートされている多要素認証方法の詳細については、「Configure additional authentication methods for AD FS (AD FS の追加の認証方法の構成 )」を参照してください。For more information about supported multi-factor authentication methods in AD FS, see Configure additional authentication methods for AD FS.

次のステップNext steps