方法:条件付きアクセスを使用してクラウド アプリへのアクセスに承認されたクライアント アプリを要求するHow to: Require approved client apps for cloud app access with Conditional Access

人々は、個人的な作業と業務上の作業のどちらにもモバイル デバイスを日常的に使用します。People regularly use their mobile devices for both personal and work tasks. 組織は、スタッフの生産性を確保する一方で、安全でない可能性のあるアプリケーションによるデータ損失を防止する必要があります。While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. 条件付きアクセスを使用すると、組織は、承認済み (先進認証対応) クライアント アプリへのアクセスを制限できます。With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps.

この記事では、Office 365、Exchange Online、SharePoint Online などのリソースの条件付きアクセス ポリシーを構成する 2 つのシナリオを紹介します。This article presents two scenarios to configure Conditional Access policies for resources like Office 365, Exchange Online, and SharePoint Online.

条件付きアクセスでは、これは "承認済みクライアント アプリの使用を必須にする" 機能と呼ばれます。In Conditional Access, this functionality is known as requiring an approved client app. 承認されたクライアント アプリの一覧は、承認されたクライアント アプリの要件に関するセクションを参照してください。For a list of approved client apps, see approved client app requirement.

注意

iOS および Android デバイス用の承認済みクライアント アプリを要求するには、まずそれらのデバイスを Azure AD に登録する必要があります。In order to require approved client apps for iOS and Android devices, these devices must first register in Azure AD.

シナリオ 1:Office 365 アプリで、承認済みクライアント アプリの使用を必須にするScenario 1: Office 365 apps require an approved client app

このシナリオでは、Contoso は、モバイル デバイスを使用しているユーザーが Outlook Mobile、OneDrive、Microsoft Teams などの承認済みクライアント アプリを使用している場合に限りすべての Office 365 サービスにアクセスできることを決定しました。In this scenario, Contoso has decided that users using mobile devices can access all Office 365 services as long as they use approved client apps, like Outlook mobile, OneDrive, and Microsoft Teams. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

組織は、モバイル デバイスで承認済みクライアント アプリの使用を必須にするために、次の 3 つの手順を完了する必要があります。Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices.

ステップ 1:Exchange Online にアクセスする際に承認済みクライアント アプリケーションの使用を必須にする、Android および iOS ベースの先進認証クライアントのポリシー。Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online.

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  6. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 (プレビュー)] を選択します。Under Cloud apps or actions > Include, select Office 365 (preview).
  7. [条件] で、 [デバイス プラットフォーム] を選択します。Under Conditions, select Device platforms.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. AndroidiOS を含めます。Include Android and iOS.
  8. [条件] で、 [クライアント アプリ (プレビュー)] を選択します。Under Conditions, select Client apps (preview).
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [モバイル アプリとデスクトップ クライアント][先進認証クライアント] を選択します。Select Mobile apps and desktop clients and Modern authentication clients.
  9. [アクセス制御] > [付与] で、 [アクセスを許可][承認されたクライアント アプリが必要です] の順に選択し、 [選択] を選択します。Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  11. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

手順 2:ActiveSync (EAS) を使用する Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

  1. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  2. [新しいポリシー] を選択します。Select New policy.
  3. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  4. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  5. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] を選択します。Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. [条件] で、次の手順を実行します。Under Conditions:
    1. [クライアント アプリ (プレビュー)] :Client apps (preview):
      1. [構成][はい] に設定します。Set Configure to Yes.
      2. [モバイル アプリとデスクトップ クライアント][Exchange ActiveSync クライアント] を選択します。Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. [アクセス制御] > [付与] で、 [アクセスを許可][承認されたクライアント アプリが必要です] の順に選択し、 [選択] を選択します。Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  9. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

ステップ 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成する。Step 3: Configure Intune app protection policy for iOS and Android client applications.

Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

シナリオ 2: Exchange Online と SharePoint Online で、承認済みクライアント アプリの使用を必須にするScenario 2: Exchange Online and SharePoint Online require an approved client app

このシナリオでは、Contoso は、アクセスを取得する前に、ユーザーが Outlook Mobile などの承認済みクライアント アプリを使用している場合に限りモバイル デバイスでメールと SharePoint データのみにアクセスできることを決定しました。In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

組織は、モバイル デバイスおよび Exchange ActiveSync クライアント上での承認済みクライアント アプリの使用を必須にするために、次の 3 つの手順を完了する必要があります。Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.

ステップ 1:Exchange Onlinee および SharePoint Online にアクセスする際に承認済みクライアント アプリケーションの使用を必須にする、Android および iOS ベースの先進認証クライアントのポリシー。Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online and SharePoint Online.

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  6. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online][Office 365 SharePoint Online] を選択します。Under Cloud apps or actions > Include, select Office 365 Exchange Online and Office 365 SharePoint Online.
  7. [条件] で、 [デバイス プラットフォーム] を選択します。Under Conditions, select Device platforms.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. AndroidiOS を含めます。Include Android and iOS.
  8. [条件] で、 [クライアント アプリ (プレビュー)] を選択します。Under Conditions, select Client apps (preview).
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [モバイル アプリとデスクトップ クライアント][先進認証クライアント] を選択します。Select Mobile apps and desktop clients and Modern authentication clients.
  9. [アクセス制御] > [付与] で、 [アクセスを許可][承認されたクライアント アプリが必要です] の順に選択し、 [選択] を選択します。Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  11. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

手順 2:承認済みクライアント アプリの使用を必須にする Exchange ActiveSync クライアントのポリシー。Step 2: Policy for Exchange ActiveSync clients requiring the use of an approved client app.

  1. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  2. [新しいポリシー] を選択します。Select New policy.
  3. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  4. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  5. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] を選択します。Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. [条件] で、次の手順を実行します。Under Conditions:
    1. [クライアント アプリ (プレビュー)] :Client apps (preview):
      1. [構成][はい] に設定します。Set Configure to Yes.
      2. [モバイル アプリとデスクトップ クライアント][Exchange ActiveSync クライアント] を選択します。Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. [アクセス制御] > [付与] で、 [アクセスを許可][承認されたクライアント アプリが必要です] の順に選択し、 [選択] を選択します。Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  9. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

ステップ 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成する。Step 3: Configure Intune app protection policy for iOS and Android client applications.

Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

次のステップNext steps

条件付きアクセスとはWhat is Conditional Access?

条件付きアクセスのコンポーネントConditional access components

一般的な条件付きアクセス ポリシーCommon Conditional Access policies