Intune での条件付きアクセスの一般的な使用方法What are common ways to use conditional access with Intune?

Intune での条件付きアクセスには、デバイス ベースの条件付きアクセスとアプリ ベースの条件付きアクセスの 2 種類があります。There are two types of conditional access with Intune: device-based conditional access and app-based conditional access. 組織の条件付きアクセス コンプライアンスを進めるために関連するコンプライアンス ポリシーを構成する必要があります。You need to configure the related compliance policies to drive conditional access compliance at your organization. 条件付きアクセスは一般的に Exchange オンプレミスへのアクセスの許可または禁止、ネットワークへのアクセスの制御、または Mobile Threat Defense ソリューションとの統合などを行うために使用されます。Conditional access is commonly used to do things like allow or block access to Exchange on-premises, control access to the network, or integrate with a Mobile Threat Defense solution.

ここでは、Intune のモバイル デバイスのコンプライアンス機能と Intune のモバイル アプリケーション管理 (MAM) 機能の使用方法について説明します。The below information helps you understand how to use the Intune mobile device compliance capabilities and the Intune mobile application management (MAM) capabilities.


条件付きアクセスは、Azure Active Directory Premium ライセンスに含まれる Azure Active Directory の機能です。Conditional access is an Azure Active Directory capability that is included with an Azure Active Directory Premium license. Intune は、モバイル デバイス コンプライアンスとモバイル アプリ管理をソリューションに加えて、この機能を強化します。Intune enhances this capability by adding mobile device compliance and mobile app management to the solution.

デバイス ベースの条件付きアクセスDevice-based conditional access

Intune と Azure Active Directory が連携することで、管理されたデバイスと準拠デバイスのみが電子メール、Office 365 サービス、サービスとしてのソフトウェア (SaaS) アプリ、およびオンプレミス アプリにアクセスできるようになります。Intune and Azure Active Directory work together to make sure only managed and compliant devices are allowed access to email, Office 365 services, Software as a service (SaaS) apps, and on-premises apps. また、Azure Active Directory では、ドメインに参加しているコンピューターや、Intune に登録されているモバイル デバイスのみが Office 365 サービスにアクセスできるようにするポリシーを設定できます。Additionally, you can set a policy in Azure Active Directory to only enable computers that are domain-joined, or mobile devices that are enrolled in Intune to access Office 365 services.

Intune には、デバイスのコンプライアンス対応状態を評価する、デバイス コンプライアンス ポリシーの機能があります。Intune provides device compliance policy capabilities that evaluate the compliance status of the devices. コンプライアンス対応状態は Azure Active Directory に報告され、ユーザーが会社のリソースにアクセスしようとしたときに、Azure Active Directory で作成された条件付きアクセスのポリシーを適用するために使用されます。The compliance status is reported to Azure Active Directory that uses it to enforce the conditional access policy created in Azure Active Directory when the user tries to access company resources.

Exchange Online や他の Office 365 製品のデバイス ベースの条件付きアクセス ポリシーは、Azure Portal で構成します。Device-based conditional access policies for Exchange online and other Office 365 products are configured through the Azure portal.

Exchange On-Premises の条件付きアクセスConditional access for Exchange on-premises

条件付きアクセスを使用すると、デバイス コンプライアンス ポリシーと登録状態に基づいて、Exchange On-Premises へのアクセスを許可またはブロックすることができます。Conditional access can be used to allow or block access to Exchange on-premises based on the device compliance policies and enrollment state. 条件付きアクセスをデバイス コンプライアンス ポリシーと組み合わせて使用した場合は、準拠デバイスのみが Exchange On-Premises へのアクセスを許可されます。When conditional access is used in combination with a device compliance policy, only compliant devices are allowed access to Exchange on-premises.

条件付きアクセスの詳細設定を構成して、次のような細かい制御を行うことができます。You can configure advanced settings in conditional access for more granular control such as:

  • 特定のプラットフォームを許可またはブロックする。Allow or block certain platforms.

  • Intune で管理されていないデバイスを即時ブロックする。Immediately block devices that are not managed by Intune.

デバイス コンプライアンスと条件付きアクセス ポリシーが適用されると、Exchange On-Premises へのアクセスで使用されるデバイスがチェックされます。Any device used to access Exchange on-premises is checked for compliance when device compliance and conditional access policies are applied.

デバイスが条件を満たしていない場合、エンド ユーザーは、デバイス非準拠の原因である問題を修正するためのデバイス登録プロセスを提示されます。When devices do not meet the conditions set, the end user is guided through the process of enrolling the device to fix the issue that is making the device noncompliant.

Exchange On-Premises の条件付きアクセスのしくみHow conditional access for Exchange on-premises works

Intune Exchange Connector は Exchange サーバーに存在するすべての Exchange Active Sync (EAS) レコードを収集するため、Intune はこれらの EAS レコードを取得して、Intune デバイス レコードにマップすることができます。The Intune Exchange connector pulls in all the Exchange Active Sync (EAS) records that exist at the Exchange server so Intune can take these EAS records and map them to Intune device records. これらのレコードはデバイスに登録され、Intune によって認識されます。These records are devices enrolled and recognized by Intune. このプロセスにより、電子メールへのアクセスが許可またはブロックされます。This process allows or blocks e-mail access.

EAS レコードが新しいために Intune が認識しない場合、Intune は電子メールへのアクセスをブロックするコマンドレットを発行します。If the EAS record is brand new, and Intune is not aware of it, Intune issues a command-let that blocks access to e-mail. 次の図で、このプロセスのしくみについて詳しく説明します。Here are more details on how this process works:

Exchange On-premises と条件付きアクセス (CA) のフローチャート

  1. ユーザーは、Exchange On-premises 2010 SP1 以降でホストされている会社の電子メールにアクセスしようとしています。User tries to access corporate email, which is hosted on Exchange on-premises 2010 SP1 or later.

  2. デバイスが Intune で管理されていない場合は、電子メールへのアクセスがブロックされます。If the device is not managed by Intune, it will be blocked access to email. Intune は、EAS クライアントにブロック通知を送信します。Intune sends block notification to the EAS client.

  3. EAS はブロック通知を受信し、該当デバイスを検疫に移動して、検疫メールを送信します。このメールには、ユーザーがデバイスを登録するためのリンクを含む修復手順が記載されています。EAS receives block notification, moves the device to quarantine, and sends the quarantine email with remediation steps that contain links so the users can enroll their devices.

  4. Workplace Join プロセスが発生します。これは、Intune でデバイスを管理する最初の手順です。The Workplace join process happens, which is the first step to have the device managed by Intune.

  5. デバイスが Intune に登録されます。The device gets enrolled into Intune.

  6. Intune により EAS レコードとデバイス レコードがマップされ、デバイスのコンプライアンス対応状態が保存されます。Intune maps the EAS record to a device record, and saves the device compliance state.

  7. Azure AD Device Registration プロセスにより EAS クライアント ID が登録され、Intune デバイス レコードと EAS クライアント ID の間のリレーションシップが作成されます。The EAS client ID gets registered by the Azure AD Device Registration process, which creates a relationship between the Intune device record, and the EAS client ID.

  8. Azure AD Device Registration により、デバイスの状態に関する情報が保存されます。The Azure AD Device Registration saves the device state information.

  9. ユーザーが条件付きアクセス ポリシーを満たしている場合、Intune は Intune Exchange Connector を介して、メールボックスの同期を許可するコマンドレットを発行します。If the user meets the conditional access policies, Intune issues a command-let through the Intune Exchange connector that allows the mailbox to sync.

  10. Exchange サーバーが EAS クライアントに通知を送信し、ユーザーは電子メールにアクセスできるようになります。Exchange server sends the notification to EAS client so the user can access e-mail.

Intune ロールとはWhat’s the Intune role?

Intune はデバイスの状態を評価し、管理します。Intune evaluates and manages the device state.

Exchange サーバー ロールとはWhat’s the Exchange server role?

Exchange サーバーは、デバイスを検疫に移動するための API とインフラストラクチャを提供します。Exchange server provides API and infrastructure to move devices to its quarantine.


デバイスのコンプライアンスを評価するために、デバイスを使用するユーザーにコンプライアンス プロファイルを割り当てる必要がある点に注意してください。Keep in mind that the user who’s using the device must have a compliance profile assigned to them so the device to be evaluated for compliance. コンプライアンス ポリシーがユーザーに展開されていない場合、デバイスは準拠したものと見なされ、アクセス制限は適用されません。If no compliance policy is deployed to the user, the device is treated as compliant and no access restrictions are applied.

ネットワーク アクセス制御に基づいた条件付きアクセスConditional access based on network access control

Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーと統合された Intune は、Intune 登録とデバイスのコンプライアンス対応状態に基づいたアクセス制御を提供します。Intune integrated with partners like Cisco ISE, Aruba Clear Pass, and Citrix NetScaler to provide access controls based on the Intune enrollment and the device compliance state.

ユーザーが会社の Wi-Fi や VPN リソースにアクセスしようとすると、デバイスが管理されているか、Intune デバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、アクセスが許可または拒否されます。Users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources based on whether the device is managed and compliant with Intune device compliance policies.

デバイスのリスクに基づいた条件付きアクセスConditional access based on device risk

Intune は、モバイル デバイス上のマルウェア、トロイの木馬、およびその他の脅威を検出するためのセキュリティ ソリューションを提供する Mobile Threat Defense ベンダーと提携しました。Intune partners with Mobile Threat Defense vendors that provide a security solution to detect malware, Trojans, and other threats on mobile devices.

Intune と Mobile Threat Defense の統合のしくみHow the Intune and Mobile Threat Defense integration works

モバイル デバイスに Mobile Threat Defense エージェントがインストールされると、モバイル デバイスで脅威が検出されたかどうかに関するコンプライアンス対応状態のメッセージが、エージェントから Intune に返信されます。When mobile devices have the Mobile Threat Defense agent installed, the agent can send compliance state messages back to Intune reporting if a threat has been found in the mobile device itself.

Intune と Mobile Threat Defense の統合は、デバイスのリスクに基づいた条件付きアクセスの決定において重要な役割を果たします。The Intune and mobile threat defense integration plays a factor at the conditional access decisions based on device risk.

Windows PC の条件付きアクセスConditional access for Windows PCs

PC の条件付きアクセスでは、モバイル デバイスで利用できる機能と同様の機能が提供されます。Conditional access for PCs provides capabilities similar to those available for mobile devices. Intune で PC を管理する場合に条件付きアクセスを使用する方法について説明します。Let’s talk about the ways you can use conditional access when managing PCs with Intune.


  • オンプレミス AD ドメインへの参加: この方法は、AD のグループ ポリシーや System Center Configuration Manager を使用して PC を管理している現在のやり方に満足している組織でよく使用されます。On premises AD domain joined: This option is commonly used by organizations who are reasonably comfortable with how they’re already managing their PCs through AD group policies and/or System Center Configuration Manager.

  • Azure AD ドメインへの参加と Intune の管理: このシナリオは、Choose Your Own Device (CYOD) と、ローミング ラップトップを会社のネットワークにほとんど接続しないシナリオを対象にしています。Azure AD domain joined and Intune management: This scenario is typically geared to Choose Your Own Device (CYOD), and roaming laptop scenarios where these devices are rarely connected to the corporate network. デバイスは Azure AD に参加し、Intune に登録されます。これにより、オンプレミス AD とドメイン コントローラーへの依存が排除されます。The device joins to the Azure AD and gets enrolled to Intune, which removes any dependency on on-premises AD, and domain controllers. 会社のリソースにアクセスする場合は、これを条件付きアクセスの基準として使用できます。This can be used as a conditional access criteria when accessing corporate resources.

  • AD ドメインへの参加と System Center Configuration Manager: 現在のブランチでは、System Center Configuration Manager は、ドメインに参加している PC とするのに加え、次の特定のコンプライアンス基準を評価できる条件付きアクセスの機能を提供します。AD domain joined and System Center Configuration Manager: As of current branch, System Center Configuration Manager provides conditional access capabilities that can evaluate specific compliance criteria, in addition to be a domain-joined PC:

    • PC が暗号化されているか。Is the PC encrypted?

    • マルウェアがインストールされているか。Is malware installed? PC は最新の状態か。Is it up-to-date?

    • デバイスが脱獄またはルート化されているか。Is the device jailbroken or rooted?

Bring Your Own Device (BYOD)Bring your own device (BYOD)

  • Workplace Join と Intune 管理: この場合、ユーザーは個人のデバイスを参加させて、会社のリソースやサービスにアクセスできます。Workplace join and Intune management: Here the user can join their personal devices to access corporate resources and services. Workplace Join を使用し、デバイスを Intune に登録して、デバイスレベルのポリシーを受け取ることができます。これは、条件付きアクセスの基準を評価する別のオプションでもあります。You can use Workplace join and enroll devices into Intune to receive device-level policies, which is also another option to evaluate conditional access criteria.

アプリベースの条件付きアクセスApp-based conditional access

Intune と Azure Active Directory が連携することで、管理対象アプリのみが会社の電子メールやその他の Office 365 サービスにアクセスできるようになります。Intune and Azure Active Directory work together to make sure only managed apps can access corporate e-mail or other Office 365 services.

次の手順Next steps

Azure Active Directory で条件付きアクセスを構成する方法How to configure conditional access in Azure Active Directory

Intune で On-Premises Exchange Connector をインストールする方法How to install on-premises Exchange connector with Intune.

Exchange On-Premises の条件付きアクセス ポリシーを作成する方法How to create a conditional access policy for Exchange on-premises