条件付きアクセス:条件Conditional Access: Conditions

管理者は条件付きアクセスポリシー内で、リスク、デバイス プラットフォーム、場所などの条件からのシグナルを利用して、ポリシーの決定を強化できます。Within a Conditional Access policy, an administrator can make use of signals from conditions like risk, device platform, or location to enhance their policy decisions.

条件付きアクセス ポリシーを定義し、条件を指定する Define a Conditional Access policy and specify conditions

複数の条件を組み合わせて、きめ細かで具体的な条件付きアクセス ポリシーを作成することができます。Multiple conditions can be combined to create fine-grained and specific Conditional Access policies.

たとえば、機密性の高いアプリケーションにアクセスするときに、管理者は、多要素認証などの他のコントロールに加えて、Identity Protection や場所からのサインイン リスク情報を、アクセスの決定要因の 1 つとして含めることができます。For example, when accessing a sensitive application an administrator may factor sign-in risk information from Identity Protection and location into their access decision in addition to other controls like multi-factor authentication.

サインイン リスクSign-in risk

Identity Protection にアクセスできるお客様の場合、条件付きアクセス ポリシーの一部としてサインイン リスクを評価できます。For customers with access to Identity Protection, sign-in risk can be evaluated as part of a Conditional Access policy. サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。Sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner. サインイン リスクの詳細については、「リスクとは」と「方法:リスク ポリシーを構成して有効にする」を参照してください。More information about sign-in risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

ユーザー リスクUser risk

Identity Protection にアクセスできるお客様の場合、条件付きアクセス ポリシーの一部としてユーザー リスクを評価できます。For customers with access to Identity Protection, user risk can be evaluated as part of a Conditional Access policy. ユーザー リスクは、特定の ID またはアカウントに対する侵害の確率を表します。User risk represents the probability that a given a given identity or account is compromised. ユーザー リスクの詳細については、「リスクとは」および「方法: リスク ポリシーを構成して有効にする」を参照してください。More information about user risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

デバイス プラットフォームDevice platforms

デバイス プラットフォームは、デバイスで実行されているオペレーティング システムによって分類されます。The device platform is characterized by the operating system that runs on a device. Azure AD では、デバイスによって提供される、ユーザー エージェント文字列などの情報を使用してプラットフォームを識別します。Azure AD identifies the platform by using information provided by the device, such as user agent strings. ユーザー エージェント文字列は変更できるため、この情報は未検証です。Since user agent strings can be modified, this information is unverified. デバイス プラットフォームは、Microsoft Intune デバイス コンプライアンス ポリシーと連携して使用するか、ブロック ステートメントの一部として使用する必要があります。Device platform should be used in concert with Microsoft Intune device compliance policies or as part of a block statement. 既定では、すべてのデバイス プラットフォームに適用されます。The default is to apply to all device platforms.

Azure AD 条件付きアクセスは、次のデバイス プラットフォームをサポートします。Azure AD Conditional Access supports the following device platforms:

  • AndroidAndroid
  • iOSiOS
  • Windows PhoneWindows Phone
  • WindowsWindows
  • macOSmacOS

他のクライアント条件を使用してレガシ認証をブロックする場合は、デバイスのプラットフォーム条件も設定できます。If you block legacy authentication using the Other clients condition, you can also set the device platform condition.

重要

Microsoft はサポートされていないデバイス プラットフォームに対して条件付きアクセス ポリシーを設定することをお勧めします。Microsoft recommends that you have a Conditional Access policy for unsupported device platforms. たとえば、Linux やその他のサポートされていないクライアントから会社のリソースへのアクセスをブロックする場合は、すべてのデバイスが含まれ、サポートされているデバイス プラットフォームが除外されるデバイス プラットフォームの条件を使用し、アクセスをブロックする制御セットが付与されるポリシーを構成する必要があります。As an example, if you want to block access to your corporate resources from Linux or any other unsupported clients, you should configure a policy with a Device platforms condition that includes any device and excludes supported device platforms and Grant control set to Block access.

場所Locations

組織は場所を条件として構成するときに、場所を含めるか除外するかを選択できます。When configuring location as a condition, organizations can choose to include or exclude locations. これらの名前付きの場所には、パブリック IPv4 ネットワーク情報、国、リージョンだけでなく、特定の国やリージョンにマップされていない不明な領域が含まれる場合もあります。These named locations may include the public IPv4 network information, country or region, or even unknown areas that don't map to specific countries or regions. 信頼できる場所としてマークできるのは IP 範囲のみです。Only IP ranges can be marked as a trusted location.

任意の場所を含める場合、このオプションには、構成された名前付きの場所ではなく、インターネット上の任意の IP アドレスが含まれます。When including any location, this option includes any IP address on the internet not just configured named locations. 任意の場所を選択するときには、管理者は、信頼されているすべての場所または選択した場所を除外することを選択できます。When selecting any location, administrators can choose to exclude all trusted or selected locations.

たとえば、組織によっては、物理的な本社のように、信頼できる場所のネットワークにユーザーが接続されているときは多要素認証を要求しないことを選択する可能性もあります。For example, some organizations may choose to not require multi-factor authentication when their users are connected to the network in a trusted location such as their physical headquarters. 管理者は、本社ネットワーク用に選択された場所を除いて、すべての場所を含むポリシーを作成することも可能です。Administrators could create a policy that includes any location but excludes the selected locations for their headquarters networks.

場所に関する詳細については、「Azure Active Directory 条件付きアクセスの場所の条件の概要」の記事を参照してください。More information about locations can be found in the article, What is the location condition in Azure Active Directory Conditional Access.

クライアント アプリClient apps

既定では、新しく作成されたすべての条件付きアクセス ポリシーは、クライアント アプリの条件が構成されていない場合でも、すべてのクライアント アプリの種類に適用されます。By default, all newly created Conditional Access policies will apply to all client app types even if the client apps condition is not configured.

注意

クライアント アプリの条件の動作は、2020 年 8 月に更新されました。The behavior of the client apps condition was updated in August 2020. 既存の条件付きアクセス ポリシーがある場合、それらは変更されません。If you have existing Conditional Access policies, they will remain unchanged. ただし、既存のポリシーをクリックすると、構成の切り替えが削除されており、ポリシーが適用されるクライアント アプリが選択されます。However, if you click on an existing policy, the configure toggle has been removed and the client apps the policy applies to are selected.

重要

レガシ認証クライアントからのサインインでは MFA はサポートされず、デバイスの状態情報は Azure AD に渡されないため、条件付きアクセス許可制御によってブロックされます (MFA または準拠デバイスを求められるなど)。Sign-ins from legacy authentication clients don’t support MFA and don’t pass device state information to Azure AD, so they will be blocked by Conditional Access grant controls, like requiring MFA or compliant devices. レガシ認証を使用する必要があるアカウントがある場合は、それらのアカウントをポリシーから除外するか、先進認証クライアントにのみ適用するようにポリシーを構成する必要があります。If you have accounts which must use legacy authentication, you must either exclude those accounts from the policy, or configure the policy to only apply to modern authentication clients.

[構成] は切り替え可能で、 [はい] に設定されている場合は、選択されている項目に適用され、 [いいえ] に設定されている場合は、レガシ認証クライアントと先進認証クライアントを含むすべてのクライアント アプリに適用されます。The Configure toggle when set to Yes applies to checked items, when set to No it applies to all client apps, including modern and legacy authentication clients. この切り替えは、2020 年 8 月より前に作成されたポリシーには表示されません。This toggle does not appear in policies created before August 2020.

  • 先進認証クライアントModern authentication clients
    • BrowserBrowser
      • これには、SAML、WS-Federation、OpenID Connect、OAuth 機密クライアントとして登録されているサービスなどのプロトコルを使用する Web ベースのアプリケーションが含まれます。These include web-based applications that use protocols like SAML, WS-Federation, OpenID Connect, or services registered as an OAuth confidential client.
    • モバイル アプリとデスクトップ クライアントMobile apps and desktop clients
      • このオプションには、Office デスクトップや Phone アプリケーションなどのアプリケーションが含まれます。This option includes applications like the Office desktop and phone applications.
  • レガシ認証クライアントLegacy authentication clients
    • Exchange ActiveSync クライアントExchange ActiveSync clients
      • これには Exchange ActiveSync (EAS) プロトコルのすべての使用が含まれます。This includes all use of the Exchange ActiveSync (EAS) protocol.
      • ポリシーによって Exchange ActiveSync の使用がブロックされると、影響を受けるユーザーには 1 通の検疫電子メールが送信されます。When policy blocks the use of Exchange ActiveSync the affected user will receive a single quarantine email. この電子メールには、ブロックされた理由に関する情報が記載され、可能な場合は修復の手順が含められます。This email with provide information on why they are blocked and include remediation instructions if able.
      • 管理者は、条件付きアクセス MS Graph API を使用して、サポートされているプラットフォーム (iOS、Android、Windows など) にのみポリシーを適用できます。Administrators can apply policy only to supported platforms (such as iOS, Android, and Windows) through the Conditional Access MS Graph API.
    • その他のクライアントOther clients
      • このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。This option includes clients that use basic/legacy authentication protocols that do not support modern authentication.
        • 認証済み SMTP - 電子メール メッセージを送信するために POP および IMAP クライアントで使用されます。Authenticated SMTP - Used by POP and IMAP client's to send email messages.
        • 自動検出 - Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
        • Exchange Online PowerShell - リモート PowerShell を使用して Exchange Online に接続するために使用されます。Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. 手順については、「多要素認証を使用して Exchange Online PowerShell に接続する」を参照してください。For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
        • Exchange Web サービス (EWS) - Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
        • IMAP4 - IMAP 電子メール クライアントで使用されます。IMAP4 - Used by IMAP email clients.
        • MAPI over HTTP (MAPI/HTTP) - Outlook 2010 以降で使用されます。MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
        • オフライン アドレス帳 (OAB) - Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
        • Outlook Anywhere (RPC over HTTP) - Outlook 2016 以前で使用されます。Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
        • Outlook サービス - Windows 10 用のメール/カレンダー アプリで使用されます。Outlook Service - Used by the Mail and Calendar app for Windows 10.
        • POP3 - POP 電子メール クライアントで使用されます。POP3 - Used by POP email clients.
        • レポート Web サービス - Exchange Online でレポート データを取得するために使用されます。Reporting Web Services - Used to retrieve report data in Exchange Online.

これらの条件がよく使用されるのは、マネージド デバイスを要求する場合、レガシ認証をブロックする場合、Web アプリケーションをブロックするがモバイル アプリやデスクトップ アプリは許可する場合です。These conditions are commonly used when requiring a managed device, blocking legacy authentication, and blocking web applications but allowing mobile or desktop apps.

サポートされているブラウザーSupported browsers

この設定は、すべてのブラウザーで動作します。This setting works with all browsers. ただし、デバイス ポリシーを満たすため、準拠デバイスの要件と同様に、次のオペレーティング システムとブラウザーがサポートされています。However, to satisfy a device policy, like a compliant device requirement, the following operating systems and browsers are supported:

OSOS ブラウザーBrowsers
Windows 10Windows 10 Microsoft Edge、Internet Explorer、ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows 8 / 8.1Windows 8 / 8.1 Internet Explorer、ChromeInternet Explorer, Chrome
Windows 7Windows 7 Internet Explorer、ChromeInternet Explorer, Chrome
iOSiOS Microsoft Edge、Intune Managed Browser、SafariMicrosoft Edge, Intune Managed Browser, Safari
AndroidAndroid Microsoft Edge、Intune Managed Browser、ChromeMicrosoft Edge, Intune Managed Browser, Chrome
Windows PhoneWindows Phone Microsoft Edge、Internet ExplorerMicrosoft Edge, Internet Explorer
Windows Server 2019Windows Server 2019 Microsoft Edge、Internet Explorer、ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows Server 2016Windows Server 2016 Internet ExplorerInternet Explorer
Windows Server 2012 R2Windows Server 2012 R2 Internet ExplorerInternet Explorer
Windows Server 2008 R2Windows Server 2008 R2 Internet ExplorerInternet Explorer
macOSmacOS Chrome、SafariChrome, Safari

注意

Edge 85+ の場合、デバイス ID を適切に渡すには、ユーザーがブラウザーにサインインする必要があります。Edge 85+ requires the user to be signed in to the browser to properly pass device identity. そうしない場合、アカウントの拡張機能のない Chrome のように動作します。Otherwise, it behaves like Chrome without the accounts extension. Hybrid Azure AD Join シナリオでは、このサインインが自動的に行われないことがあります。This sign-in might not occur automatically in a Hybrid Azure AD Join scenario.

ブラウザーに証明書のプロンプトが表示される理由Why do I see a certificate prompt in the browser

Windows 7、iOS、Android、および macOS では、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。On Windows 7, iOS, Android, and macOS Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。When a user first signs in through the browser the user is prompted to select the certificate. ユーザーは、ブラウザーを使用する前に、この証明書を選択する必要があります。The user must select this certificate before using the browser.

Chrome のサポートChrome support

Windows 10 Creators Update (バージョン 1703) 以降で Chrome をサポートするには、Windows 10 Accounts 拡張機能をインストールしてください。For Chrome support in Windows 10 Creators Update (version 1703) or later, install the Windows 10 Accounts extension. 条件付きアクセス ポリシーでデバイス固有の詳細が必要な場合は、この拡張機能が必要です。This extension is required when a Conditional Access policy requires device-specific details.

Chrome ブラウザーにこの拡張機能を自動的に展開するには、次のレジストリ キーを作成します。To automatically deploy this extension to Chrome browsers, create the following registry key:

  • パス HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelistPath HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • 名前 1Name 1
  • 型 REG_SZ (文字列)Type REG_SZ (String)
  • データ ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crxData ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Windows 8.1 および 7 で Chrome をサポートするには、次のレジストリ キーを作成してください。For Chrome support in Windows 8.1 and 7, create the following registry key:

  • パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrlsPath HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • 名前 1Name 1
  • 型 REG_SZ (文字列)Type REG_SZ (String)
  • データ {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

これらのブラウザーはデバイス認証をサポートしており、デバイスを識別してポリシーで検証することができます。These browsers support device authentication, allowing the device to be identified and validated against a policy. ブラウザーがプライベート モードで実行している場合、デバイス チェックは失敗します。The device check fails if the browser is running in private mode.

サポートされているモバイル アプリケーションとデスクトップ クライアントSupported mobile applications and desktop clients

組織は、クライアント アプリとして [モバイル アプリとデスクトップ クライアント] を選択できます。Organizations can select Mobile apps and desktop clients as client app.

この設定は、以下のモバイル アプリおよびデスクトップ クライアントからのアクセス試行に影響を与えます。This setting has an impact on access attempts made from the following mobile apps and desktop clients:

クライアント アプリClient apps 対象サービスTarget Service プラットフォームPlatform
Dynamics CRM アプリDynamics CRM app Dynamics CRMDynamics CRM Windows 10、Windows 8.1、iOS、AndroidWindows 10, Windows 8.1, iOS, and Android
メール/カレンダー/People アプリ、Outlook 2016、Outlook 2013 (先進認証を使用)Mail/Calendar/People app, Outlook 2016, Outlook 2013 (with modern authentication) Exchange OnlineExchange Online Windows 10Windows 10
アプリ用の MFA と場所のポリシー。MFA and location policy for apps. デバイス ベースのポリシーはサポートされていません。Device-based policies are not supported. 任意のマイ アプリ アプリ サービスAny My Apps app service Android および iOSAndroid and iOS
Microsoft Teams Services - このコントロールは Microsoft Teams とそのすべてのクライアント アプリ (Windows デスクトップ、iOS、Android、WP、および Web クライアント) をサポートするすべてのサービスを制御するMicrosoft Teams Services - this controls all services that support Microsoft Teams and all its Client Apps - Windows Desktop, iOS, Android, WP, and web client Microsoft TeamsMicrosoft Teams Windows 10、Windows 8.1、Windows 7、iOS、Android、および macOSWindows 10, Windows 8.1, Windows 7, iOS, Android, and macOS
Office 2016 アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアントOffice 2016 apps, Office 2013 (with modern authentication), OneDrive sync client SharePointSharePoint Windows 8.1、Windows 7Windows 8.1, Windows 7
Office 2016 アプリ、ユニバーサル Office アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアントOffice 2016 apps, Universal Office apps, Office 2013 (with modern authentication), OneDrive sync client SharePoint OnlineSharePoint Online Windows 10Windows 10
Office 2016 (Word、Excel、PowerPoint、OneNote のみ)。Office 2016 (Word, Excel, PowerPoint, OneNote only). SharePointSharePoint macOSmacOS
Office 2019Office 2019 SharePointSharePoint Windows 10、macOSWindows 10, macOS
Office モバイル アプリOffice mobile apps SharePointSharePoint Android、iOSAndroid, iOS
Office Yammer アプリOffice Yammer app YammerYammer Windows 10、iOS、AndroidWindows 10, iOS, Android
Outlook 2019Outlook 2019 SharePointSharePoint Windows 10、macOSWindows 10, macOS
Outlook 2016 (Office for macOS)Outlook 2016 (Office for macOS) Exchange OnlineExchange Online macOSmacOS
Outlook 2016、Outlook 2013 (先進認証を使用)、Skype for Business (先進認証を使用)Outlook 2016, Outlook 2013 (with modern authentication), Skype for Business (with modern authentication) Exchange OnlineExchange Online Windows 8.1、Windows 7Windows 8.1, Windows 7
Outlook Mobile アプリOutlook mobile app Exchange OnlineExchange Online Android、iOSAndroid, iOS
Power BI アプリPower BI app Power BI サービスPower BI service Windows 10、Windows 8.1、Windows 7、Android、iOSWindows 10, Windows 8.1, Windows 7, Android, and iOS
Skype for BusinessSkype for Business Exchange OnlineExchange Online Android、iOSAndroid, iOS
Visual Studio Team Services アプリVisual Studio Team Services app Visual Studio Team ServicesVisual Studio Team Services Windows 10、Windows 8.1、Windows 7、iOS、AndroidWindows 10, Windows 8.1, Windows 7, iOS, and Android

Exchange ActiveSync クライアントExchange ActiveSync clients

  • 組織が Exchange ActiveSync クライアントを選択できるのは、ユーザーまたはグループにポリシーを割り当てるときにだけです。Organizations can only select Exchange ActiveSync clients when assigning policy to users or groups. [すべてのユーザー][すべてのゲストと外部ユーザー] 、または [ディレクトリ ロール] を選択すると、すべてのユーザーがブロックされます。Selecting All users, All guest and external users, or Directory roles will cause all users to become blocked.
  • Exchange ActiveSync クライアントに割り当てられるポリシーを作成する場合は、Exchange Online が、そのポリシーに割り当てられる唯一のクラウド アプリケーションである必要があります。When creating a policy assigned to Exchange ActiveSync clients, Exchange Online should be the only cloud application assigned to the policy.
  • 組織は、 [デバイス プラットフォーム] の条件を使用して、このポリシーの範囲を特定のプラットフォームに限定することができます。Organizations can narrow the scope of this policy to specific platforms using the Device platforms condition.

ポリシーに割り当てられたアクセス制御で、 [承認済みクライアント アプリを必須にする] が使用されている場合、ユーザーは Outlook モバイル クライアントをインストールして使用するように指示されます。If the access control assigned to the policy uses Require approved client app, the user is directed to install and use the Outlook mobile client. 多要素認証が必須の場合、基本認証では多要素認証がサポートされていないため、影響を受けるユーザーはブロックされます。In the case that Multi-factor authentication is required, affected users are blocked, because basic authentication does not support multi-factor authentication.

詳細については、次の記事を参照してください。For more information, see the following articles:

その他のクライアントOther clients

[その他のクライアント] を選択することで、基本認証とメール プロトコル (IMAP、MAPI、POP、SMTP など) を使用するアプリや、先進認証を使用しない以前の Office アプリに影響を及ぼすポリシーを指定できます。By selecting Other clients, you can specify a condition that affects apps that use basic authentication with mail protocols like IMAP, MAPI, POP, SMTP, and older Office apps that don't use modern authentication.

デバイス状態 (プレビュー)Device state (preview)

デバイス状態の条件を使用して、組織の条件付きアクセス ポリシーから、ハイブリッド Azure AD 参加済みデバイスや、Microsoft Intune コンプライアンス ポリシーに準拠しているとマークが付けられているデバイスを除外することができます。The device state condition can be used to exclude devices that are hybrid Azure AD joined and/or devices marked as compliant with a Microsoft Intune compliance policy from an organization's Conditional Access policies.

例: Microsoft Azure の管理クラウド アプリにアクセスするすべてのユーザーについて、アクセス制御ブロックのために、すべてのデバイスの状態を含め、ハイブリッド Azure AD 参加済みのデバイスデバイスは準拠としてマーク済みを除外する。For example, All users accessing the Microsoft Azure Management cloud app including All device state excluding Device Hybrid Azure AD joined and Device marked as compliant and for Access controls, Block.

  • この例では、ハイブリッド Azure AD 参加済みデバイスや準拠としてマーク済みのデバイスからは、Microsoft Azure の管理へのアクセスのみを許可するポリシーが作成されます。This example would create a policy that only allows access to Microsoft Azure Management from devices that are hybrid Azure AD joined and/or devices marked as compliant.

次のステップNext steps