条件付きアクセス: 準拠しているデバイスまたは Hybrid Azure AD Join を使用したデバイスが必要

Microsoft Intune をデプロイした組織では、デバイスから返された情報を使用して、以下のようなコンプライアンス要件を満たすデバイスを識別することができます。

  • ロック解除に PIN が必要
  • デバイスの暗号化が必要
  • オペレーティング システムの最小または最大バージョンが必要
  • デバイスが脱獄または root 化されていないことが必要

ポリシー準拠情報は Azure AD に送信され、そこで条件付きアクセスによってリソースへのアクセスの許可またはブロックが決定されます。 デバイスの準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」という記事を参照してください。

Hybrid Azure AD Join を使用したデバイスの要求は、デバイスが Hybrid Azure AD Join を既に使用していることに依存しています。 詳細については、「Hybrid Azure AD Join の構成」の記事を参照してください。

テンプレートのデプロイ

組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレート (プレビュー) を使用するかを選ぶことができます。

条件付きアクセス ポリシーを作成する

リソースにアクセスするデバイスが組織の Intune 準拠ポリシーに準拠しているとマークされていることを要求する条件付きアクセス ポリシーを作成するには、次の手順に従います。

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。
  2. [Azure Active Directory][セキュリティ][条件付きアクセス] の順に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーとグループ] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [Done] を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション)[Include](含める) で、[すべてのクラウド アプリ] を選択します。
    1. 特定のアプリケーションをポリシーから除外する必要がある場合は、 [除外されたクラウド アプリの選択][除外] タブから選択して [選択] を選びます。
    2. [Done] を選択します。
  7. [アクセス制御]>[付与]
    1. [デバイスは準拠としてマーク済みである必要があります] または [Hybrid Azure AD Join を使用したデバイスである必要があります] を選択します
    2. 複数のコントロールの場合[選択したコントロールのいずれかが必要] を選択します。
    3. [選択] を選択します。
  8. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  9. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、[レポート専用モード] を使用して設定を確認した後、 [ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

注意

上記の手順を使用して、 [すべてのユーザー][すべてのクラウド アプリ] に対して [デバイスは準拠としてマーク済みである必要があります] を選択した場合でも、新しいデバイスを Intune に登録できます。 [デバイスは準拠としてマーク済みである必要があります] コントロールを使用しても、Intune の登録はブロックされません。

既知の動作

Windows 7、iOS、Android、macOS、および一部のサードパーティ製 Web ブラウザーでは、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。

サブスクリプションのライセンス認証

サブスクリプションのアクティブ化機能を使用してユーザーが Windows をあるバージョンから別へと "ステップアップ" できるようにする組織は、ユニバーサル ストア サービス API と Web アプリケーション (AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f) をデバイスのコンプライアンス ポリシーから除外できます。

次のステップ

Conditional Access common policies (条件付きアクセスの一般的なポリシー)

条件付きアクセスのレポート専用モードを使用した影響を判断する

Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)

デバイス コンプライアンス ポリシーと Azure AD の連携