条件付きアクセスを使用してクラウド アプリへのアクセスにアプリ保護ポリシーを要求する (プレビュー)Require app protection policy for cloud app access with Conditional Access (preview)

従業員は個人的な作業と業務上の作業のどちらにもモバイル デバイスを使用します。Your employees use mobile devices for both personal and work tasks. そこで、従業員の生産性を確保しながら、データの損失を防止する必要があります。While making sure your employees can be productive, you also want to prevent data loss. Azure Active Directory (Azure AD) の条件付きアクセスを使用すると、クラウド アプリへのアクセスを制限することによって会社のデータを保護することができます。With Azure Active Directory (Azure AD) Conditional Access, you can protect your corporate data by restricting access to your cloud apps. まず、アプリ保護ポリシーのクライアント アプリを使用してください。Use client apps with an app protection policy first.

この記事では、データへのアクセスが許可される前にアプリ保護ポリシーを要求できる条件付きアクセス ポリシーを構成する方法について説明します。This article explains how to configure Conditional Access policies that can require an app protection policy before access is granted to data.

概要Overview

Azure AD の条件付きアクセスを使用すると、承認されたユーザーがリソースにアクセスする方法を微調整できます。With Azure AD Conditional Access, you can fine-tune how authorized users can access your resources. たとえば、クラウド アプリへのアクセスを信頼済みデバイスのみに制限できます。For example, you can limit the access to your cloud apps to trusted devices.

会社のデータの保護には、Intune のアプリ保護ポリシーを利用できます。You can use Intune app protection policies to help protect your company’s data. Intune アプリ保護ポリシーでは、モバイル デバイス管理 (MDM) ソリューションは必要ありません。Intune app protection policies don't require a mobile device management (MDM) solution. 会社のデータは、デバイス管理ソリューションでデバイスを登録してもしなくても保護できます。You can protect your company’s data with or without enrolling devices in a device management solution.

Azure Active Directory の条件付きアクセスでは、クラウド アプリへのアクセスを、アプリ保護ポリシーを受信するときに Intune が Azure AD に報告したクライアント アプリケーションに制限します。Azure Active Directory Conditional Access restricts access to your cloud apps to client applications that Intune has reported to Azure AD as receiving an app protection policy. たとえば、Exchange Online に対するアクセスを、Intune のアプリ保護ポリシーがある Outlook アプリのみに制限することができます。For example, you can restrict access to Exchange Online to the Outlook app that has an Intune app protection policy.

条件付きアクセスに関する用語では、このようなクライアント アプリをアプリ保護ポリシーで保護されたポリシーと呼んでいます。In the Conditional Access terminology, these client apps are known to be policy protected with an app protection policy.

条件付きアクセス

ポリシーで保護されたクライアント アプリの一覧については、アプリ保護ポリシーの要件に関するページを参照してください。For a list of policy-protected client apps, see App protection policy requirement.

アプリ保護ベースの条件付きアクセス ポリシーは、デバイス ベースの条件付きアクセス ポリシーなどの他のポリシーと組み合わせることができます。You can combine app-protection-based Conditional Access policies with other policies, such as device-based Conditional Access policies. これにより、個人デバイスと会社のデバイスの両方のデータを柔軟に保護することができます。This way, you can provide flexibility in how to protect data for both personal and corporate devices.

注意

招待側の組織は B2B ユーザーのホーム組織内を認識できない、条件付きアクセス アプリ保護ポリシーを B2B ユーザーに適用することはできません。Conditional Access app protection policies cannot be applied to B2B users because the inviting organization has no visibility into the B2B user's home organization.

アプリ保護ベースの条件付きアクセスを要求する利点Benefits of app protection-based Conditional Access requirement

マネージド デバイス向けの iOS および Android 用の Intune によって報告されるコンプライアンスと同様に、アプリ保護ポリシーが適用されているかどうかが Intune から Azure AD に報告されるようになりました。Similar to compliance that's reported by Intune for iOS and Android for a managed device, Intune now reports to Azure AD if an app protection policy is applied. 条件付きアクセスでは、このポリシーをアクセス チェックとして使用できます。Conditional Access can use this policy as an access check. この新しい条件付きアクセス ポリシー (アプリ保護ポリシー) により、セキュリティが向上します。This new Conditional Access policy, the app protection policy, increases security. これにより、次のような管理者のエラーを防止されます。It protects against admin errors, such as:

  • Intune のライセンスを持っていないユーザー。Users who don't have an Intune license.
  • Intune アプリ保護ポリシーを受信できないユーザー。Users who can't receive an Intune app protection policy.
  • ポリシーを受信するように構成されていない Intune アプリ保護ポリシーのアプリ。Intune app protection policy apps that aren't configured to receive a policy.

開始する前にBefore you begin

この記事では、次の内容を熟知していることを前提としています。This article assumes that you're familiar with:

前提条件Prerequisites

アプリ保護ベースの条件付きアクセス ポリシーを作成するには、次のことが必要です。To create an app protection-based Conditional Access policy, you must:

  • Enterprise Mobility + Security または Azure Active Directory Premium サブスクリプション + Intune を持っていること。Have an Enterprise Mobility + Security or an Azure Active Directory premium subscription + Intune.
  • ユーザーが Enterprise Mobility + Security または Azure AD + Intune に対してライセンス付与されていること。Make sure the users are licensed for Enterprise Mobility + Security or Azure AD + Intune.
  • クライアント アプリが Intune でアプリ保護ポリシーを受信するように構成されていること。Make sure the client app is configured in Intune to receive an app protection policy.
  • ユーザーが Intune で Intune アプリ保護ポリシーを受信するように構成されていること。Make sure the users are configured in Intune to receive an Intune app protection policy.

Exchange Online 用のアプリ保護ベースApp protection-based policy for Exchange Online

このシナリオは、Exchange Online にアクセスするためのアプリ保護ベースの条件付きアクセス ポリシーで構成されます。This scenario consists of an app protection-based Conditional Access policy for access to Exchange Online.

シナリオのプレイブックScenario playbook

このシナリオでは、ユーザーを次のように想定しています。This scenario assumes that a user:

  • iOS または Android 上でネイティブ メール アプリケーションを使用して電子メールを構成することによって Exchange に接続します。Configures email by using a native mail application on iOS or Android to connect to Exchange.
  • Outlook アプリを使用してのみアクセスできることを示す電子メールを受信します。Receives an email that indicates that access is available only by using the Outlook app.
  • そのリンクを使用してアプリケーションをダウンロードします。Downloads the application with the link.
  • Outlook アプリケーションを開き、Azure AD 資格情報を使用してサインインします。Opens the Outlook application and signs in with Azure AD credentials.
  • 続行するには、Microsoft Authenticator アプリまたは Intune ポータル サイトをインストールするよう求められます。Is prompted to install either the Microsoft Authenticator app or the Intune Company Portal to continue.
  • アプリケーションをインストールし、Outlook アプリに戻って続行します。Installs the application and returns to the Outlook app to continue.
  • デバイスを登録するよう求められます。Is prompted to register a device.
  • Intune アプリ保護ポリシーを受信できます。Can receive an Intune app protection policy.
  • 電子メールにアクセスできます。Can access email.

会社のデータにアクセスするには、アプリケーションに何らかの Intune アプリ保護ポリシーが必要です。Any Intune app protection policies must be on the application to access corporate data. これらのポリシーでは、ユーザーはアプリケーションを再起動するか、または追加の PIN を使用するよう求められることがあります。The policies might prompt the user to restart the application or use an additional PIN. これは、ポリシーがそのアプリケーションおよびプラットフォーム用に構成されている場合です。This is the case if the policies are configured for the application and platform.

構成Configuration

手順 1:Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 1: Configure an Azure AD Conditional Access policy for Exchange Online

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online] を選択します。In Cloud apps, select Office 365 Exchange Online.

    条件付きアクセス

  4. [条件] で、 [デバイス プラットフォーム][クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Device platforms and Client apps (preview):

    1. [デバイス プラットフォーム] で、 [Android][iOS] を選択します。In Device platforms, select Android and iOS.

      条件付きアクセス

    2. [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][先進認証クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Modern authentication clients.

      条件付きアクセス

  5. [アクセス制御] で、 [アプリの保護ポリシーが必要 (プレビュー)] を選択します。Under Access controls, select Require app protection policy (preview).

    条件付きアクセス

手順 2:ActiveSync (EAS) を使用する Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online] を選択します。In Cloud apps, select Office 365 Exchange Online.

    条件付きアクセス

  4. [条件] で、 [クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Client apps (preview).

    1. [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][Exchange ActiveSync クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Exchange ActiveSync clients.

      条件付きアクセス

    2. [アクセス制御] で、 [アプリの保護ポリシーが必要 (プレビュー)] を選択します。Under Access controls, select Require app protection policy (preview).

      条件付きアクセス

手順 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成するStep 3: Configure Intune app protection policy for iOS and Android client applications

条件付きアクセス

詳細については、Microsoft Intune を使用したアプリおよびデータの保護に関するページを参照してください。For more information, see Protect apps and data with Microsoft Intune.

Exchange Online 用のアプリ保護ベースまたは準拠しているデバイス ポリシーApp protection-based or compliant device policy for Exchange Online

このシナリオは、Exchange Online にアクセスするためのアプリ保護ベースまたは準拠しているデバイス ベースの条件付きアクセス ポリシーで構成されます。This scenario consists of an app protection-based or compliant device Conditional Access policy for access to Exchange Online.

シナリオのプレイブックScenario playbook

このシナリオでは、ユーザーを次のように想定しています。This scenario assumes that:

  • ユーザーが (会社のデバイスを使用して、または使用せずに) 既に登録されています。A user is already enrolled, with or without corporate devices.
  • アプリで保護されたアプリケーションを使用して Azure AD に登録されていないユーザーがリソースにアクセスするには、デバイスを登録する必要があります。Users who aren't enrolled and registered with Azure AD by using an app protected application need to register a device to access resources.
  • アプリで保護されたアプリケーションを使用している登録済みのユーザーは、デバイスを再登録する必要はありません。Enrolled users who use the app protected application don't have to re-register the device.
  • 登録されていない場合、ユーザーは Intune アプリ保護ポリシーを受信できます。The user can receive an Intune app protection policy if not enrolled.
  • 登録されていない場合、ユーザーは Outlook と Intune アプリ保護ポリシーを使用して電子メールにアクセスできます。The user can access email with Outlook and an Intune app protection policy if not enrolled.
  • デバイスが登録されていない場合、ユーザーは Outlook を使用して電子メールにアクセスできます。The user can access email with Outlook if the device is enrolled.

構成Configuration

手順 1:Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 1: Configure an Azure AD Conditional Access policy for Exchange Online

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online] を選択します。In Cloud apps, select Office 365 Exchange Online.

    条件付きアクセス

  4. [条件] で、 [デバイス プラットフォーム][クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Device platforms and Client apps (preview).

    1. [デバイス プラットフォーム] で、 [Android][iOS] を選択します。In Device platforms, select Android and iOS.

      条件付きアクセス

    2. [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][先進認証クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Modern authentication clients.

      条件付きアクセス

  5. [アクセス制御] で、次のオプションを選択します。Under Access controls, select the following options:

    • デバイスは準拠としてマーク済みである必要がありますRequire device to be marked as compliant

    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

    • 選択したコントロールのいずれかが必要ですRequire one of the selected controls

      条件付きアクセス

手順 2:ActiveSync を使用した Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online] を選択します。In Cloud apps, select Office 365 Exchange Online.

    条件付きアクセス

  4. [条件] で、 [クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Client apps (preview).

    [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][Exchange ActiveSync クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Exchange ActiveSync clients.

    条件付きアクセス

  5. [アクセス制御] で、次のオプションを選択します。Under Access controls, select the following options:

    • デバイスは準拠としてマーク済みである必要がありますRequire device to be marked as compliant

    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

    • 選択したコントロールのいずれかが必要ですRequire one of the selected controls

      条件付きアクセス

手順 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成するStep 3: Configure Intune app protection policy for iOS and Android client applications

条件付きアクセス

詳細については、Microsoft Intune を使用したアプリおよびデータの保護に関するページを参照してください。For more information, see Protect apps and data with Microsoft Intune.

Exchange Online 用のアプリ保護ベースおよび準拠しているデバイス ポリシーApp protection-based and compliant device policy for Exchange Online

このシナリオは、Exchange Online にアクセスするためのアプリ保護ベースおよび準拠しているデバイス ベースの条件付きアクセス ポリシーで構成されます。This scenario consists of an app-protection-based and compliant device Conditional Access policy for access to Exchange Online.

シナリオのプレイブックScenario playbook

このシナリオでは、ユーザーを次のように想定しています。This scenario assumes that a user:

  • iOS または Android 上でネイティブ メール アプリケーションを使用して電子メールを構成することによって Exchange に接続します。Configures email by using a native mail application on iOS or Android to connect to Exchange.
  • アクセスするにはデバイスを登録する必要があることを示す電子メールを受信します。Receives an email that indicates that access requires their device to be enrolled.
  • Intune Company Portal をダウンロードし、ポータルにサインインします。Downloads Intune Company Portal and signs in to the portal.
  • メールを確認し、Outlook アプリを使用するよう求められます。Checks mail and is asked to use the Outlook app.
  • Outlook アプリをダウンロードします。Downloads the Outlook app.
  • Outlook アプリを開き、登録で使用される資格情報を入力します。Opens the Outlook app and enters the credentials used in the enrollment.
  • Intune アプリ保護ポリシーを受信できます。Can receive an Intune app protection policy.
  • Outlook と Intune アプリ保護ポリシーを使用して電子メールにアクセスできます。Can access email with Outlook and an Intune app protection policy.

会社のデータへのアクセスが許可される前に、何らかの Intune アプリ保護ポリシーがアクティブ化されます。Any Intune app protection policies are activated before access is granted to corporate data. これらのポリシーでは、ユーザーはアプリケーションを再起動するか、または追加の PIN を使用するよう求められることがあります。The policies might prompt the user to restart the application or use an additional PIN. これは、ポリシーがそのアプリケーションおよびプラットフォーム用に構成されている場合です。This is the case if the policies are configured for the application and platform.

構成Configuration

手順 1:Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 1: Configure an Azure AD Conditional Access policy for Exchange Online

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online] を選択します。In Cloud apps, select Office 365 Exchange Online.

    条件付きアクセス

  4. [条件] で、 [デバイス プラットフォーム][クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Device platforms and Client apps (preview).

    1. [デバイス プラットフォーム] で、 [Android][iOS] を選択します。In Device platforms, select Android and iOS.

      条件付きアクセス

    2. [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][先進認証クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Modern authentication clients.

      条件付きアクセス

  5. [アクセス制御] で、次のオプションを選択します。Under Access controls, select the following options:

    • デバイスは準拠としてマーク済みである必要がありますRequire device to be marked as compliant

    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

    • 選択したコントロールすべてが必要ですRequire all the selected controls

      条件付きアクセス

手順 2:ActiveSync を使用した Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online] を選択します。In Cloud apps, select Office 365 Exchange Online.

    条件付きアクセス

  4. [条件] で、 [クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Client apps (preview).

    [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][Exchange ActiveSync クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Exchange ActiveSync clients.

    条件付きアクセス

  5. [アクセス制御] で、次のオプションを選択します。Under Access controls, select the following options:

    • デバイスは準拠としてマーク済みである必要がありますRequire device to be marked as compliant

    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

    • 選択したコントロールすべてが必要ですRequire all the selected controls

      条件付きアクセス

手順 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成するStep 3: Configure Intune app protection policy for iOS and Android client applications

条件付きアクセス

詳細については、Microsoft Intune を使用したアプリおよびデータの保護に関するページを参照してください。For more information, see Protect apps and data with Microsoft Intune.

Exchange Online と SharePoint Online 用のアプリ保護ベースまたはアプリベースのポリシーApp protection-based or app-based policy for Exchange Online and SharePoint Online

このシナリオは、Exchange Online および SharePoint Online にアクセスするためのアプリ保護ベースまたは承認されたアプリのポリシーで構成されます。This scenario consists of an app protection-based or approved apps policy for access to Exchange Online and SharePoint Online.

シナリオのプレイブックScenario playbook

このシナリオでは、ユーザーを次のように想定しています。This scenario assumes that a user:

  • アプリ保護ポリシーの要件または承認されたアプリの要件をサポートするアプリの一覧にあるクライアント アプリケーションを構成します。Configures client applications that are either on the list of apps that support the app protection policy requirement or the approved apps requirement.
  • アプリ保護ポリシーの要件を満たし、Intune アプリ保護ポリシーを受信できるクライアント アプリケーションを使用します。Uses client applications that meet the app protection policy requirement and can receive an Intune app protection policy.
  • Intune アプリ保護ポリシーをサポートする、承認されたアプリのポリシーの要件を満たすクライアント アプリケーションを使用します。Uses client applications that meet the approved apps policy requirement that supports Intune app protection policy.
  • 電子メールまたはドキュメントにアクセスするためのアプリケーションを開きます。Opens the application to access email or documents.
  • Outlook アプリケーションを開き、Azure AD 資格情報を使用してサインインします。Opens the Outlook application and signs in with Azure AD credentials.
  • まだインストールされていない場合は、iOS での使用には Microsoft Authenticator を、Android での使用には Intune Company Portal をインストールするよう求められます。Is prompted to install either Microsoft Authenticator for iOS use or Intune Company Portal for Android use if they're not already installed.
  • アプリケーションをインストールした後、Outlook アプリに戻って続行できます。Installs the application and can return to the Outlook app to continue.
  • デバイスを登録するよう求められます。Is prompted to register a device.
  • Intune アプリ保護ポリシーを受信できます。Can receive an Intune app protection policy.
  • Outlook と Intune アプリ保護ポリシーを使用して電子メールにアクセスできます。Can access email with Outlook and an Intune app protection policy.
  • アプリ保護ポリシーの要件ではなく、承認されたアプリの要件にリストされているアプリを使用してサイトやドキュメントにアクセスできます。Can access sites and documents with an app not on the app protection policy requirement but listed in the approved app requirement.

会社のデータへのアクセスが許可される前に、何らかの Intune アプリ保護ポリシーが必要です。Any Intune app protection policies are required before access is granted to corporate data. これらのポリシーでは、ユーザーはアプリケーションを再起動するか、または追加の PIN を使用するよう求められることがあります。The policies might prompt the user to restart the application or use an additional PIN. これは、ポリシーがそのアプリケーションおよびプラットフォーム用に構成されている場合です。This is the case if the policies are configured for the application and platform.

解説Remarks

  • アプリ保護ベースおよびアプリベースの両方の条件付きアクセス ポリシーをサポートする場合は、このシナリオを使用できます。You can use this scenario if you want to support both app protection-based and app-based Conditional Access policies.
  • この OR ポリシーでは、承認されたクライアント アプリの要件の前に、まずアプリ保護ポリシーの要件を持つアプリがアクセスに関して評価されます。In this OR policy, apps with an app protection policy requirement are evaluated for access first before the approved client apps requirement.

構成Configuration

手順 1:Exchange Online と SharePoint Online 用の Azure AD 条件付きアクセス ポリシーを構成するStep 1: Configure an Azure AD Conditional Access policy for Exchange Online and SharePoint Online

この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:

条件付きアクセス

  1. 条件付きアクセス ポリシーの名前を入力します。Enter the name of your Conditional Access policy.

  2. [割り当て][ユーザーとグループ] で、条件付きアクセス ポリシーごとに少なくとも 1 人のユーザーまたは 1 つのグループを選択します。Under Assignments, in Users and groups, select at least one user or group for each Conditional Access policy.

  3. [クラウド アプリ] で、 [Office 365 Exchange Online][Office 365 SharePoint Online] を選択します。In Cloud apps, select Office 365 Exchange Online and Office 365 SharePoint Online.

    条件付きアクセス

  4. [条件] で、 [デバイス プラットフォーム][クライアント アプリ (プレビュー)] を構成します。In Conditions, configure Device platforms and Client apps (preview).

    1. [デバイス プラットフォーム] で、 [Android][iOS] を選択します。In Device platforms, select Android and iOS.

      条件付きアクセス

    2. [クライアント アプリ (プレビュー)] で、 [モバイル アプリとデスクトップ クライアント][先進認証クライアント] を選択します。In Client apps (preview), select Mobile apps and desktop clients and Modern authentication clients.

      条件付きアクセス

  5. [アクセス制御] で、次のオプションを選択します。Under Access controls, select the following options:

    • 承認済みクライアント アプリを必須にするRequire approved client app

    • アプリの保護ポリシーが必要 (プレビュー)Require app protection policy (preview)

    • 選択したコントロールのいずれかが必要ですRequire one of the selected controls

      条件付きアクセス

手順 2:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成するStep 2: Configure Intune app protection policy for iOS and Android client applications

条件付きアクセス

詳細については、Microsoft Intune を使用したアプリおよびデータの保護に関するページを参照してください。For more information, see Protect apps and data with Microsoft Intune.

次の手順Next steps