人々は、個人的な作業と業務上の作業のどちらにもモバイル デバイスを日常的に使用します。 組織は、スタッフの生産性を確保する一方で、完全には管理できないデバイス上のアプリケーションによるデータ損失を防止する必要があります。
条件付きアクセスを使用すると、組織は Intune アプリ保護ポリシーを使用して、承認された (先進認証に対応した) クライアント アプリへのアクセスを制限できます。 アプリ保護ポリシーをサポートしていない古いクライアント アプリの場合、管理者は 承認されたクライアント アプリへのアクセスを制限できます。
警告
アプリ保護ポリシーは、アプリケーションが特定の要件を満たす iOS および Android でサポートされています。 アプリ保護ポリシーは、プレビュー段階の Windows の Microsoft Edge ブラウザーでのみサポートされています。 一部のアプリケーションは、承認済みアプリケーションとしてサポートされないか、アプリケーション保護ポリシーをサポートしません。 一般的なクライアント アプリの一覧については、「 アプリ保護ポリシーの要件」を参照してください。 ご使用のアプリケーションがリストされていない場合は、アプリケーション開発者にお問い合わせください。 iOS および Android デバイスで承認済みクライアント アプリを要求する、またはアプリ保護ポリシーを適用するには、まずそれらのデバイスを Microsoft Entra ID に登録する必要があります。
注意
許可コントロールで選択されたコントロールのいずれかが必須であることは、OR 句に似ています。 これは、ユーザーが [アプリ保護を要求する] ポリシーまたは [承認されたクライアント アプリの許可の制御を要求する] をサポートするアプリを利用できるようにするために、ポリシー内で使用されます。 アプリが制御を許可することをサポートしている場合は、アプリ保護ポリシーを適用する必要があります。
アプリ保護ポリシーを使用する利点の詳細については、アプリ 保護ポリシーの概要に関する記事を参照してください。
次のポリシーは、管理者が既存のユーザーに与える影響を判断できるように、 レポート専用モード に設定されます。 管理者は、ポリシーが意図したとおりに適用されることを快適に感じたとき、特定のグループを追加して他のグループを除外することで 、オン に切り替えたり、デプロイをステージングしたりできます。
次の手順は、iOS/iPadOS または Android デバイスを使用する場合に、承認されたクライアント アプリ または アプリ保護ポリシーを必要とする条件付きアクセス ポリシーを作成するのに役立ちます。 このポリシーにより、モバイル デバイスでは、基本認証を使用する Exchange ActiveSync クライアントが使用できなくなります。 このポリシーは、 Microsoft Intune で作成されたアプリ保護ポリシーと連携して機能します。
組織は、次の手順を使用するか、 条件付きアクセス テンプレートを使用して、このポリシーを展開することを選択できます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access に移動します。
- [ 新しいポリシーの作成] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、[ すべてのユーザー] を選択します。
- [ 除外] で、[ ユーザーとグループ ] を選択し、少なくとも 1 つのアカウントを除外して、自分がロックアウトされないようにします。アカウントを除外しない場合は、ポリシーを作成できません。
- ターゲット リソース>リソース (旧称クラウド アプリ)>に含めるで、すべてのリソース (以前の「すべてのクラウド アプリ」) を選択します。
- [ 条件>Device プラットフォーム] で、[ 構成] を [はい] に設定します。
- [ 含める] で、[ デバイス プラットフォームの選択] を選択します。
- Android と iOS を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[アクセス権の 付与] を選択します。
- [承認済みクライアント アプリを要求する] と [アプリ保護ポリシーを要求する] を選択します
- 複数のコントロールの場合は 、[ 選択したコントロールの 1 つを必須にする] を選択します
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
注意
"アプリ保護ポリシーを要求する" コントロールのレポート専用モードでポリシーを作成すると、構成されたすべてのポリシー条件が満たされた場合、サインイン ログの結果が [条件付きアクセス] タブの [レポートのみ: 失敗] と表示されることがあります。 これは、レポート専用モードでコントロールが満たされなかったためです。 ポリシーを有効にすると、コントロールがアプリに適用され、サインインはブロックされません。
管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
ヒント
組織では、このポリシーと共に 、サポートされていないデバイス プラットフォームまたは不明なデバイス プラットフォームからのアクセスをブロックする ポリシーも展開する必要があります。
このポリシーは、基本認証を使用するすべての Exchange ActiveSync クライアントが Exchange Online に接続するのをブロックします。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access に移動します。
- [ 新しいポリシーの作成] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、[ すべてのユーザー] を選択します。
- [ 除外] で、[ ユーザーとグループ ] を選択し、少なくとも 1 つのアカウントを除外して、自分がロックアウトされないようにします。アカウントを除外しない場合は、ポリシーを作成できません。
- [ 完了] を選択します。
- [ ターゲット リソース>リソース (以前のクラウド アプリ)>リソースの選択 ] を選択します。
- Office 365 Exchange Online を選択します。
- 選択を選択します。
- [条件>クライアント アプリ] で、[構成] を [はい] に設定します。
- Exchange ActiveSync クライアントを除くすべてのオプションをオフにします。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[アクセス権の 付与] を選択します。
- [アプリ保護ポリシーを要求する] を選択する
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。