条件付きアクセス:Grant

条件付きアクセス ポリシー内では、管理者はアクセス コントロールを使用して、リソースへのアクセスを許可またはブロックすることができます。

Conditional Access policy with a grant control requiring multi-factor authentication

アクセスのブロック

ブロックは、割り当てを考慮して、条件付きアクセス ポリシーの構成に基づいてアクセスを禁止します。

ブロックは強力なコントロールであるため、適切な知識を習得したうえで扱う必要があります。 ブロック ステートメントのあるポリシーには予想外の副作用が含まれることがあります。 大規模で有効にする前に、適切なテストと検証が不可欠です。 管理者は、変更を行うにあたり、条件付きアクセスのレポート専用モード条件付きアクセスの What If ツールなどのツールを利用する必要があります。

アクセス権の付与

管理者は、アクセス権を付与するときに 1 つ以上のコントロールを適用することを選択できます。 これらのコントロールには、次のオプションがあります。

これらのオプションを組み合わせることを選択する場合、管理者は次の方法を選択できます。

  • 選択したコントロールすべてが必要 (コントロールコントロール)
  • 選択したコントロールのいずれかが必要 (コントロールまたはコントロール)

既定では、条件付きアクセスでは、選択したすべてのコントロールが必要です。

多要素認証が必要です

このチェックボックスをオンにすると、ユーザーは Azure AD Multi-Factor Authentication を実行する必要があります。 Azure AD Multi-factor Authentication のデプロイの詳細については、「クラウド ベースの Azure AD Multi-Factor Authentication のデプロイの計画」の記事を参照してください。

Windows Hello for Business は、条件付きアクセス ポリシーでの多要素認証の要件を満たしています。

デバイスは準拠としてマーク済みである必要がある

Microsoft Intune をデプロイしている組織では、デバイスから返された情報を使用して、特定の準拠要件を満たすデバイスを識別することができます。 このポリシー準拠情報は Intune から Azure AD に転送され、条件付きアクセスはそこで、リソースへのアクセスを許可するかブロックするかを決定できます。 準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」という記事を参照してください。

デバイスを準拠としてマークするには、Intune (任意のデバイス OS の場合) または Windows 10 デバイス用のサード パーティ製 MDM システムを使用できます。 サポートされているサード パーティの MDM システムの一覧については、「Intune でサード パーティのデバイス コンプライアンス パートナーをサポートする」の記事を参照してください。

デバイスを準拠としてマークするには、あらかじめそのデバイスが Azure AD に登録されている必要があります。 デバイス登録の詳細については、「デバイス ID とは」を参照してください。

解説

  • [ デバイスを準拠としてマークする必要があります] 要件 :

注意

Windows 7、iOS、Android、macOS、および一部のサードパーティ製 Web ブラウザーでは、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。

ハイブリッド Azure AD 参加済みのデバイスを必要とする

組織は、条件付きアクセス ポリシーの一部としてデバイス ID を使用することを選択できます。 組織は、このチェックボックスを使用して、デバイスがハイブリッド Azure AD 参加済みであることを必須にすることができます。 デバイス ID の詳細については、「デバイス ID とは」の記事を参照してください。

デバイスコードの OAuth フローを使用する場合、マネージド デバイスを要求する許可コントロールや、デバイスの状態の条件は、サポートされません。 これは、認証を実行するデバイスがそのデバイスの状態を、コードを提供するデバイスに提供できず、トークン内のデバイスの状態が、認証を行うデバイスにロックされるためです。 代わりに、多要素認証を要求する許可コントロールを使用してください。

解説

  • Hybrid Azure AD Join を使用したデバイスが必要要件:
    • ドメイン参加済みデバイスWindowsダウンレベル (Windows 10)、Windows (Windows 10+) デバイスのみをサポートします。
    • 条件付きアクセスではMicrosoft Edge参加しているハイブリッド デバイスとして InPrivate Azure ADを考慮することはできません。

承認済みクライアント アプリを必須にする

組織は、選択したクラウド アプリへのアクセス試行を、承認されたクライアント アプリから行うように要求することができます。 これらの承認されたクライアント アプリは、モバイル デバイス管理 (MDM) ソリューションには一切依存せずに、Intune アプリ保護ポリシーをサポートします。

この許可コントロールを適用するために、条件付きアクセスでは、ブローカー アプリを使用する必要があるデバイスを Azure Active Directory に登録する必要があります。 ブローカー アプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft Authenticator または Microsoft ポータル サイトを使用できます。 ユーザーが認証を試みたときにブローカー アプリがデバイスにインストールされていない場合、ユーザーは必要なブローカー アプリをインストールするために、適切な App ストアにリダイレクトされます。

次のクライアン トアプリは、この設定をサポートすることが確認されています。

  • Microsoft Azure Information Protection
  • Microsoft Bookings
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft リスト
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365 管理

解説

  • 承認されたクライアント アプリは、Intune モバイル アプリケーション管理機能をサポートしています。
  • [承認されたクライアント アプリが必要です] 要件:
    • デバイス プラットフォームの条件に関しては、iOS と Android のみがサポートされます。
    • デバイスを登録するには、ブローカー アプリが必要です。 ブローカー アプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft Authenticator または Microsoft ポータル サイトを使用できます。
  • 条件付きアクセスでは、InPrivate モードの Microsoft Edge を承認されたクライアント アプリと見なすことはできません。
  • 条件付きアクセス ポリシーでは、承認されたクライアント アプリとして Microsoft Power BI アプリが必要となります。ここでは、Azure AD アプリケーション プロキシを使用して、Power BI モバイル アプリからオンプレミスの Power BI Report Server に接続できるようにすることはできません。

方法: 条件付きアクセスを使用してクラウド アプリへのアクセスに承認されたクライアント アプリを要求する」を参照して構成の例を確認してください。

アプリの保護ポリシーを必須にする

条件付きアクセス ポリシー内で、選択したクラウド アプリがアクセスできるようにする前に、クライアント アプリに Intune アプリ保護ポリシーが存在することを要求できます。

この許可コントロールを適用するために、条件付きアクセスでは、ブローカー アプリを使用する必要があるデバイスを Azure Active Directory に登録する必要があります。 ブローカー アプリには、iOS 用の Microsoft Authenticator か、Android デバイス用の Microsoft ポータル サイトのいずれかを使用できます。 ユーザーが認証を試みたときにブローカー アプリがデバイスにインストールされていない場合、ユーザーはブローカー アプリをインストールするために、App Store にリダイレクトされます。

アプリケーションには Policy Assurance が実装された Intune SDK が必要であり、この設定をサポートするための他の特定の要件を満たす必要があります。 Intune SDK を使用してアプリケーションを実装する開発者は、これらの要件について SDK ドキュメントで詳細を確認できます。

次のクライアン トアプリは、この設定をサポートすることが確認されています。

  • Microsoft Cortana
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Lists (iOS)
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • MultiLine for Intune
  • Nine Mail - Email & Calendar

注意

Microsoft Kaizala、Microsoft Skype for Business、および Microsoft Visio では、アプリの保護ポリシーを必須にする許可はサポートされていません。 これらのアプリを動作させる必要がある場合は、承認済みのアプリを必須にする許可を明示的に使用してください。 or2 つの許可間で句を使用しても、これら3つのアプリケーションでは機能しません。

解説

  • アプリ保護ポリシーのアプリは、ポリシー保護を含む Intune モバイル アプリケーション管理機能をサポートしています。
  • アプリの保護ポリシーが必要の要件:
    • デバイス プラットフォームの条件に関しては、iOS と Android のみがサポートされます。
    • デバイスを登録するには、ブローカー アプリが必要です。 iOS では、ブローカー アプリは Microsoft Authenticator であり、Android では Intune ポータル サイト アプリです。

方法: 条件付きアクセスを使用して、クラウド アプリへのアクセスにアプリ保護ポリシーと承認済みクライアント アプリの使用を必須にする」を参照して構成の例を確認してください。

パスワードの変更を必須とする

ユーザー リスクが検出されると、ユーザー リスク ポリシーの条件で、管理者が Azure AD セルフサービス パスワード リセットを使用して、ユーザーがパスワードを安全に変更できるようにすることができます。 ユーザー リスクが検出された場合、ユーザーはセルフサービス パスワード リセットを実行して自己修復することができます。この処理では、管理者に対して不要なノイズが発生しないように、ユーザー リスク イベントが閉じられます。

ユーザーにパスワードの変更が求められた場合は、まず多要素認証を完了する必要があります。 アカウントのリスクが検出された場合に備えて、すべてのユーザーが多要素認証に登録されていることを確認する必要があります。

警告

ユーザー リスク ポリシーをトリガーする前に、ユーザーがセルフサービス パスワード リセット に登録済みである必要があります。

パスワード変更制御を使用してポリシーを構成する場合の制限。

  1. ポリシーは 'すべてのクラウド アプリ' に割り当てる必要があります。 この要件により、攻撃者は、別のアプリにサインインすることにより、別のアプリを使用してユーザーのパスワードを変更し、アカウントのリスクをリセットすることができなくなります。
  2. パスワードの変更要求は、準拠デバイスの要求など、他のコントロールと共に使用することができません。
  3. パスワード変更のコントロールは、ユーザーとグループの割り当て条件、クラウド アプリの割り当て条件 ([すべて] に設定する必要があります)、およびユーザー リスク条件でのみ使用できます。

使用条件

組織で利用規約を作成している場合、許可コントロールに他のオプションが表示されることがあります。 これらのオプションを使用すると、ポリシーによって保護されたリソースにアクセスするための条件として、管理者は利用規約への同意を要求することができます。 利用規約の詳細については、「Azure Active Directory の利用規約」を参照してください。

次のステップ