方法:条件付きアクセスを使用して、クラウド アプリへのアクセスにアプリ保護ポリシーと承認済みクライアント アプリの使用を必須にするHow to: Require app protection policy and an approved client app for cloud app access with Conditional Access

人々は、個人的な作業と業務上の作業のどちらにもモバイル デバイスを日常的に使用します。People regularly use their mobile devices for both personal and work tasks. 組織は、スタッフの生産性を確保する一方で、安全でない可能性のあるアプリケーションによるデータ損失を防止する必要があります。While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. 条件付きアクセスを使用すると、組織は、Intune アプリ保護ポリシーが適用された承認済み (先進認証対応) クライアント アプリのみにアクセスを制限できます。With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps with Intune app protection policies applied to them.

この記事では、Microsoft 365、Exchange Online、SharePoint などのリソースの条件付きアクセス ポリシーを構成する 3 つのシナリオを紹介します。This article presents three scenarios to configure Conditional Access policies for resources like Microsoft 365, Exchange Online, and SharePoint.

条件付きアクセスでは、これらのクライアント アプリはアプリ保護ポリシーで保護されることが知られています。In the Conditional Access, these client apps are known to be protected with an app protection policy. アプリ保護ポリシーの詳細については、「アプリ保護ポリシーの概要」を参照してくださいMore information about app protection policies can be found in the article, App protection policies overview

警告

一部のアプリケーションは、承認済みアプリケーションとしてサポートされないか、アプリケーション保護ポリシーをサポートしません。Not all applications are supported as approved applications or support application protection policies. 適格なクライアント アプリの一覧については、アプリ保護ポリシーの要件に関するページを参照してください。For a list of eligible client apps, see App protection policy requirement.

注意

付与の制御の [選択したコントロールのいずれかが必要] は、 OR 句と似ています。"Require one of the selected controls" under grant controls is like an OR clause. これは、ポリシー内で使用され、ユーザーが [アプリの保護ポリシーが必要] または [承認済みクライアント アプリを必須にする] のいずれかの付与の制御をサポートするアプリを利用できるようにします。This is used within policy to enable users to utilize apps that support either the Require app protection policy or Require approved client app grant controls. アプリが両方のポリシーでサポートされている場合は、 [アプリの保護ポリシーが必要] が適用されます。Require app protection policy is enforced if an app is supported in both policies. アプリ保護ポリシーを必須にする付与の制御がサポートされているアプリの詳細については、アプリ保護ポリシーの要件に関するページを参照してください。For more information on which apps support the Require app protection policy grant control, see App protection policy requirement.

シナリオ 1:Microsoft 365 アプリで、承認済みアプリとアプリ保護ポリシーの使用を必須にするScenario 1: Microsoft 365 apps require approved apps with app protection policies

このシナリオでは、Contoso は、Microsoft 365 リソースへのすべてのモバイル アクセスで、アクセス権の取得に先立って、アプリ保護ポリシーで保護された承認済みクライアント アプリ (Outlook Mobile、OneDrive など) の使用を必須とすることにしました。In this scenario, Contoso has decided that all mobile access to Microsoft 365 resources must use approved client apps, like Outlook mobile and OneDrive, protected by an app protection policy prior to receiving access. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

組織は、モバイル デバイスで承認済みクライアント アプリの使用を必須とするために、次の手順を完了する必要があります。Organizations must complete the following steps in order to require the use of an approved client app on mobile devices.

ステップ 1:Microsoft 365 用の Azure AD 条件付きアクセス ポリシーを構成するStep 1: Configure an Azure AD Conditional Access policy for Microsoft 365

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  6. [クラウド アプリまたはアクション] > [Include](含める) で、 [Office 365] を選択します。Under Cloud apps or actions > Include, select Office 365.
  7. [条件] で、 [デバイス プラットフォーム] を選択します。Under Conditions, select Device platforms.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. AndroidiOS を含めます。Include Android and iOS.
  8. [条件] で、 [クライアント アプリ] を選択します。Under Conditions, select Client apps.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [モバイル アプリとデスクトップ クライアント] を選択し、他のすべての選択を解除ます。Select Mobile apps and desktop clients and deselect everything else.
  9. [アクセス制御] > [付与] で、次のオプションを選択します。Under Access controls > Grant, select the following options:
    • 承認済みクライアント アプリを必須にするRequire approved client app
    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)
    • 選択したコントロールすべてが必要ですRequire all the selected controls
  10. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  11. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

手順 2:ActiveSync (EAS) を使用する Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

  1. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  2. [新しいポリシー] を選択します。Select New policy.
  3. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  4. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  5. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] を選択します。Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. [条件] で、 [クライアント アプリ] を選択します。Under Conditions, select Client apps:
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [Exchange ActiveSync クライアント] を選択し、他のすべての選択を解除します。Select Exchange ActiveSync clients and deselect everything else.
  7. [アクセス制御] > [付与] で、 [アクセスを許可][Require app protection policy](アプリの保護ポリシーを必須にする) の順に選択し、 [選択] を選択します。Under Access controls > Grant, select Grant access, Require app protection policy, and select Select.
  8. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  9. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

ステップ 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成するStep 3: Configure Intune app protection policy for iOS and Android client applications

Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

シナリオ 2: ブラウザー アプリで、承認済みアプリとアプリ保護ポリシーの使用を必須にするScenario 2: Browser apps require approved apps with app protection policies

このシナリオでは、Contoso は、Web ブラウザーから Microsoft 365 リソースへのすべてのモバイル アクセスで、アクセス権の取得に先立って、アプリ保護ポリシーで保護された承認済みクライアント アプリ (iOS と Android 用の Edge など) の使用を必須とすることにしました。In this scenario, Contoso has decided that all mobile web browsing access to Microsoft 365 resources must use an approved client app, like Edge for iOS and Android, protected by an app protection policy prior to receiving access. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

組織は、モバイル デバイスで承認済みクライアント アプリの使用を必須とするために、次の手順を完了する必要があります。Organizations must complete the following steps in order to require the use of an approved client app on mobile devices.

ステップ 1:Microsoft 365 用の Azure AD 条件付きアクセス ポリシーを構成するStep 1: Configure an Azure AD Conditional Access policy for Microsoft 365

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  6. [クラウド アプリまたはアクション] > [Include](含める) で、 [Office 365] を選択します。Under Cloud apps or actions > Include, select Office 365.
  7. [条件] で、 [デバイス プラットフォーム] を選択します。Under Conditions, select Device platforms.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. AndroidiOS を含めます。Include Android and iOS.
  8. [条件] で、 [クライアント アプリ] を選択します。Under Conditions, select Client apps.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [ブラウザー] を選択し、他のすべての選択を解除します。Select Browser and deselect everything else.
  9. [アクセス制御] > [付与] で、次のオプションを選択します。Under Access controls > Grant, select the following options:
    • 承認済みクライアント アプリを必須にするRequire approved client app
    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)
    • 選択したコントロールすべてが必要ですRequire all the selected controls
  10. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  11. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

手順 2:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成するStep 2: Configure Intune app protection policy for iOS and Android client applications

Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

シナリオ 3: Exchange Online と SharePoint で、承認済みクライアント アプリとアプリ保護ポリシーの使用を必須にするScenario 3: Exchange Online and SharePoint require an approved client app and app protection policy

このシナリオでは、Contoso は、アクセス権の取得に先立って、ユーザーがアプリ保護ポリシーで保護された Outlook Mobile などの承認済みクライアント アプリを使用している場合に限り、モバイル デバイスでメールと SharePoint データのみにアクセスできるようにすることにしました。In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile protected by an app protection policy prior to receiving access. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

組織は、モバイル デバイスおよび Exchange ActiveSync クライアント上での承認済みクライアント アプリの使用を必須にするために、次の 3 つの手順を完了する必要があります。Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.

ステップ 1:Exchange Online および SharePoint にアクセスする際に承認済みクライアント アプリとアプリ保護ポリシーの使用を必須にする、Android および iOS ベースの先進認証クライアントのポリシー。Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client app and app protection policy when accessing Exchange Online and SharePoint.

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  6. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online][Office 365 SharePoint Online] を選択します。Under Cloud apps or actions > Include, select Office 365 Exchange Online and Office 365 SharePoint Online.
  7. [条件] で、 [デバイス プラットフォーム] を選択します。Under Conditions, select Device platforms.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. AndroidiOS を含めます。Include Android and iOS.
  8. [条件] で、 [クライアント アプリ] を選択します。Under Conditions, select Client apps.
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [モバイル アプリとデスクトップ クライアント] を選択し、他のすべての選択を解除ます。Select Mobile apps and desktop clients and deselect everything else.
  9. [アクセス制御] > [付与] で、次のオプションを選択します。Under Access controls > Grant, select the following options:
    • 承認済みクライアント アプリを必須にするRequire approved client app
    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)
    • 選択したコントロールのいずれかが必要ですRequire one of the selected controls
  10. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  11. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

手順 2:承認済みクライアント アプリの使用を必須にする Exchange ActiveSync クライアントのポリシー。Step 2: Policy for Exchange ActiveSync clients requiring the use of an approved client app.

  1. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  2. [新しいポリシー] を選択します。Select New policy.
  3. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  4. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. [Done] を選択します。Select Done.
  5. [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] を選択します。Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. [条件] で、 [クライアント アプリ] を選択します。Under Conditions, select Client apps:
    1. [構成][はい] に設定します。Set Configure to Yes.
    2. [Exchange ActiveSync クライアント] を選択し、他のすべての選択を解除します。Select Exchange ActiveSync clients and deselect everything else.
  7. [アクセス制御] > [付与] で、 [アクセスを許可][Require app protection policy](アプリの保護ポリシーを必須にする) の順に選択し、 [選択] を選択します。Under Access controls > Grant, select Grant access, Require app protection policy, and select Select.
  8. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  9. [作成] を選択し、ポリシーを作成して有効にします。Select Create to create and enable your policy.

ステップ 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成する。Step 3: Configure Intune app protection policy for iOS and Android client applications.

Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

次のステップNext steps

条件付きアクセスとはWhat is Conditional Access?

条件付きアクセスのコンポーネントConditional access components

一般的な条件付きアクセス ポリシーCommon Conditional Access policies