• [アーティクル]

Configuration Manager での SharePoint Online の条件付きアクセス

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックの情報は、System Center 2012 Configuration Manager SP1 以降および System Center 2012 R2 Configuration Manager 以降に適用されます。

Configuration Manager SharePoint Online の条件付きアクセス ポリシーを使用して、指定した条件に基づき、SharePoint Online 上に配置された OneDrive for Business ファイルへのアクセスを管理します。

対象となるユーザーが、デバイスで OneDrive などのサポートされているアプリを使用してファイルに接続しようとすると、次の評価が発生します。

Conditional Access for SharePoint

必要なファイルに接続するには、OneDrive を実行するデバイスに次の条件が必要です。

  • Microsoft Intune に登録されている、またはドメインに参加する PC である。

  • デバイスが Azure Active Directory に登録されている (デバイスが Intune に登録されている場合は、自動的に登録されます)。

    ドメインに参加する PC の場合、Azure Active Directory に自動的に登録するように設定する必要があります。

  • 展開されているすべての Configuration Manager コンプライアンス ポリシーを遵守している。

デバイスの状態は、Azure Active Directory に格納され、指定した条件に基づいて、ファイルへのアクセスが許可されたりブロックされたりします。

条件が満たされない場合、ユーザーにはログイン時に以下のうちのいずれかのメッセージが表示されます。

  • デバイスが Intune に登録されていない、または Azure Active Directory に登録されていない場合は、メッセージが表示され、ポータル サイト アプリのインストールと登録の手順が示されます。

  • デバイスが遵守していない場合は、ユーザーを Intune Web ポータルに導くメッセージが表示されます。このポータルで、問題およびその修復方法に関する情報を見ることができます。

  • PC の場合:

    • ドメインへの参加を要求するようにポリシーを設定して、PC がドメインに参加していない場合、IT 管理者に連絡するようにメッセージが表示されます。

    • ドメインへの参加または遵守を要求するようにポリシーを設定して、PC がいずれかの要件を満たしていない場合、ポータル サイト アプリをインストールして登録する方法についての手順が示されたメッセージが表示されます。

次のアプリから SharePoint Online へのアクセスをブロックできます。

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android および iOS)

  • Microsoft Word (Android および iOS)

  • Microsoft Excel (Android および iOS)

  • Microsoft PowerPoint (Android および iOS)

  • Microsoft OneNote (Android および iOS)

SharePoint の条件付きアクセスを構成する手順

手順 1. Active Directory セキュリティ グループを構成する

開始する前に、条件付きアクセス ポリシーの Azure Active Directory セキュリティ グループを構成します。 これらのグループは、Office 365 管理センターまたは Intune アカウント ポータルで構成できます。 これらのグループには、ポリシーの対象となるユーザーや、ポリシーから除外されるユーザーが含まれます。 ユーザーがポリシーの対象となる場合、ユーザーに使用される各デバイスがリソースにアクセスするには、ポリシーを遵守している必要があります。

SharePoint Online ポリシーには、次の 2 つのグループの種類を指定できます。

  • 対象グループ – ポリシーを適用するユーザーのグループが含まれる

  • 例外グループ – ポリシーから除外されるユーザーのグループが含まれる (省略可能)

ユーザーが両方のグループに含まれている場合は、ポリシーから除外されます。

手順 2. コンプライアンス ポリシーを構成し、展開する

コンプライアンス ポリシーを作成し、SharePoint Online ポリシーの対象となるすべてのデバイスに展開していることを確認します。

[!メモ]

コンプライアンス ポリシーは Intune グループまたは Configuration Manager コレクションに展開されますが、条件付きアクセス ポリシーは、Azure Active Directory セキュリティ グループを対象とします。

コンプライアンス ポリシーを構成する方法の詳細については、「Configuration Manager のコンプライアンス ポリシー」を参照してください。

System_CAPS_important重要

コンプライアンス ポリシーを展開していない状態で、SharePoint Online ポリシーを有効にすると、すべての対象となるデバイスにアクセスが許可されます。

準備ができたら、手順 3 に進みます。

手順 3. SharePoint Online ポリシーを構成する

次に、管理デバイスおよび準拠デバイスのみが SharePoint Online にアクセスできるように要求するポリシーを構成します。 このポリシーは、Azure Active Directory に格納されます。

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. [SharePoint Online の条件付きアクセス ポリシーを有効にする] を選択します。

  3. [先進認証を使用するアプリ] で、アクセスを各プラットフォームに準拠しているデバイスのみに制限できます。

    System_CAPS_tipヒント

    先進認証では、Active Directory Authentication Library (ADAL) ベースのサインインが Office クライアントに提供されます。

    • ADAL ベースの認証を使用すると、Office クライアントでブラウザー ベースの認証 (パッシブ認証とも呼ばれます) を利用できます。 認証する際に、ユーザーはサインイン Web ページに転送されます。

    • この新しいサインイン方法では、デバイスのコンプライアンスと、多要素認証が実行されたかどうかに基づいて、条件付きのアクセスなどの新しいシナリオを実現できます。

    先進認証の動作の詳細については、この記事を参照してください。

    Windows PC の場合は、ドメインに参加しているか、または Intune に登録されて準拠している必要があります。 以下の要件を設定できます。

    - **デバイスはドメインに参加しているか準拠デバイスである必要があります**。つまり、PC はドメインに参加しているか、または Intune のポリシー セットに準拠している必要があります。 PC がどちらの要件も満たさない場合、ユーザーはデバイスを Intune に登録するように求められます。

- **デバイスはドメインに参加している必要があります**。PC は Exchange Online にアクセスするために、ドメインに参加する必要があることを意味します。 PC がドメインに参加していない場合、電子メールへのアクセスはブロックされ、ユーザーは IT 管理者に連絡するように求められます。

- **デバイスは準拠デバイスである必要があります**。PC は Intune に登録および準拠している必要があることを意味します。 PC を登録していない場合は、登録する方法についての手順を示したメッセージが表示されます。

  4. [ホーム] タブの [リンク] グループで、[Intune コンソールでの条件付きアクセス ポリシーの構成] をクリックします。Configuration Manager と Intune の接続に使用するアカウントのユーザー名とパスワードを指定する必要がある場合があります。

    Intune 管理コンソールが開きます。

  5. Microsoft Intune 管理コンソールで、[ポリシー] > [条件付きアクセス] > [SharePoint Online ポリシー] の順にクリックします。

  6. [デバイスが準拠していない場合は、アプリの SharePoint Online へのアクセスをブロックする] を選択します。

  7. [対象グループ] で、[変更] をクリックして、ポリシーを適用する Azure Active Directory セキュリティ グループを選択します。

  8. [例外グループ] で、必要に応じて [変更] をクリックして、このポリシーから除外する Azure Active Directory セキュリティ グループを選択します。

  9. 終了したら、[保存] をクリックします。

条件付きアクセス ポリシーを展開する必要はありません。直ちに有効になります。

Intune コンソールからポリシーを管理する方法の詳細については、「Microsoft Intune を使用した SharePoint Online アクセスの管理」を参照してください。