条件付きアクセス:Require compliant devices (準拠しているデバイスが必須)Conditional Access: Require compliant devices

Microsoft Intune をデプロイした組織では、デバイスから返された情報を使用して、以下のようなコンプライアンス要件を満たすデバイスを識別することができます。Organizations who have deployed Microsoft Intune can use the information returned from their devices to identify devices that meet compliance requirements such as:

  • ロック解除に PIN が必要Requiring a PIN to unlock
  • デバイスの暗号化が必要Requiring device encryption
  • オペレーティング システムの最小または最大バージョンが必要Requiring a minimum or maximum operating system version
  • デバイスが脱獄または root 化されていないことが必要Requiring a device is not jailbroken or rooted

このポリシー準拠情報は Azure AD に転送され、条件付きアクセスはそこで、リソースへのアクセスを許可するかブロックするかを決定できます。This policy compliance information is forwarded to Azure AD where Conditional Access can make decisions to grant or block access to resources. デバイスの準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」という記事を参照してください。More information about device compliance policies can be found in the article, Set rules on devices to allow access to resources in your organization using Intune

条件付きアクセス ポリシーを作成するCreate a Conditional Access policy

リソースにアクセスするデバイスが組織の Intune 準拠ポリシーに準拠しているとマークされていることを要求する条件付きアクセス ポリシーを作成するには、次の手順に従います。The following steps will help create a Conditional Access policy to require devices accessing resources be marked as compliant with your organization's Intune compliance policies.

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Security > Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
  5. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups
    1. [Include](含める) で、 [すべてのユーザー] を選択します。Under Include, select All users.
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。Under Exclude, select Users and groups and choose your organization's emergency access or break-glass accounts.
    3. [Done] を選択します。Select Done.
  6. [Cloud apps or actions](クラウド アプリまたはアクション) > [Include](含める) で、 [すべてのクラウド アプリ] を選択します。Under Cloud apps or actions > Include, select All cloud apps.
    1. 特定のアプリケーションをポリシーから除外する必要がある場合は、 [除外されたクラウド アプリの選択][除外] タブから選択して [選択] を選びます。If you must exclude specific applications from your policy, you can choose them from the Exclude tab under Select excluded cloud apps and choose Select.
    2. [Done] を選択します。Select Done.
  7. [条件] > [クライアント アプリ (プレビュー)] > [このポリシーを適用するクライアント アプリを選択します] で、すべてを既定値が選択された状態のままにして、 [完了] を選択します。Under Conditions > Client apps (Preview) > Select the client apps this policy will apply to, leave all defaults selected and select Done.
  8. [アクセス制御] > [許可] で、 [デバイスは準拠としてマーク済みである必要があります] を選択します。Under Access controls > Grant, select Require device to be marked as compliant.
    1. [選択] を選択します。Select Select.
  9. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。Confirm your settings and set Enable policy to On.
  10. [作成] を選択して、ポリシーを作成および有効化します。Select Create to create to enable your policy.

注意

上記の手順を使用して、 [すべてのユーザー][すべてのクラウド アプリ] に対して [デバイスは準拠としてマーク済みである必要があります] を選択した場合でも、新しいデバイスを Intune に登録できます。You can enroll your new devices to Intune even if you select Require device to be marked as compliant for All users and All cloud apps using the steps above. [デバイスは準拠としてマーク済みである必要があります] コントロールを使用しても、Intune の登録はブロックされません。Require device to be marked as compliant control does not block Intune enrollment.

既知の動作Known behavior

Windows 7、iOS、Android、macOS、および一部のサードパーティ製 Web ブラウザーでは、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。On Windows 7, iOS, Android, macOS, and some third-party web browsers Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。When a user first signs in through the browser the user is prompted to select the certificate. エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。The end user must select this certificate before they can continue to use the browser.

次のステップNext steps

Conditional Access common policies (条件付きアクセスの一般的なポリシー)Conditional Access common policies

条件付きアクセスのレポート専用モードを使用した影響を判断するDetermine impact using Conditional Access report-only mode

Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)Simulate sign in behavior using the Conditional Access What If tool

デバイス コンプライアンス ポリシーと Azure AD の連携Device compliance policies work with Azure AD