Microsoft Entra の使用条件
Microsoft Entra 使用条件ポリシーは、エンド ユーザーに情報を提示するための簡単な方法を提供します。 組織では、利用規約と条件付きアクセス ポリシーを併用することで、アクセスする前に利用規約ポリシーに同意するよう従業員やゲストに求めることができます。 これらの利用規約文は一般的なものであっても、グループやユーザーに特化したものであってもよく、複数の言語で提供できます。 管理者は、利用規約に誰が同意して誰が同意しなかったが、提供されたログや API でわかります。
Note
この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。
前提条件
Microsoft Entra 使用条件ポリシーを使用および構成するには、以下が必要です:
- Microsoft Entra ID P1 ライセンス。
- 使用条件の構成と条件付きアクセス ポリシーについて読む必要がある管理者は、少なくとも [セキュリティ閲覧者] ロールを割り当てる必要があります。
- 使用条件と条件付きアクセス ポリシーを作成または変更する必要がある管理者は、少なくとも [条件付きアクセス管理者] ロールを割り当てる必要があります。
- PDF 形式での使用条件のドキュメント。 PDF ファイルには、表示するコンテンツを自由に指定できます。 モバイル デバイスのユーザーをサポートする場合、PDF の推奨フォント サイズは 24 ポイントです。
サービスの制限
追加できる用語数はテナントあたり 40 個以下です。
利用規約の追加
使用条件ポリシーのドキュメントが完成したら、次の手順を使って追加します。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[使用条件] に移動します。
[新規の利用規約] を選択します。
[名前] ボックスに、利用規約ポリシーの名前を入力します。
[利用規約のドキュメント] で、完成した利用規約ポリシーの PDF を参照して選びます。
利用規約ポリシーのドキュメントの言語を選択します。 言語オプションを使用して、言語が異なる複数の使用条件ドキュメントをアップロードできます。 エンド ユーザーに表示される利用規約ポリシーのバージョンは、ブラウザーの設定に基づきます。
[表示名] ボックスに、ユーザーがサインインしたときに表示されるタイトルを入力します。
エンド ユーザーが同意する前に使用条件ポリシーを表示しなければならないようにする場合、[ユーザーは使用条件を展開する必要があります] を [オン] に設定します。
エンド ユーザーがアクセスするすべてのデバイスで使用条件ポリシーに同意しなければならないようにする場合、[各デバイスでユーザーによる同意が必要] を [オン] に設定します。 このオプションが有効な場合、ユーザーは他のアプリケーションのインストールが必要になる可能性があります。 詳しくは、「デバイスごとの利用規約」をご覧ください。
定期的に利用規約ポリシーへの同意を期限切れにする場合、 [期限切れの同意] を [オン] にします。 オンに設定すると、さらに 2 つのスケジュール設定が表示されます。
[以下の日付から期限切れになります] および [頻度] 設定を使用して、利用規約ポリシーの期限切れのスケジュールを指定します。 次の表に、いくつかの設定例とその結果を示します。
期限切れの開始日 頻度 結果 今日の日付 月単位 ユーザーは本日から利用規約ポリシーに同意する必要があります。また、毎月再同意する必要があります。 未来の日付 月単位 ユーザーは本日から利用規約ポリシーに同意する必要があります。 未来の日付が来ると、同意の有効期限が切れ、ユーザーは毎月再同意する必要があります。 たとえば、期限切れの開始日を 1 月 1 日に設定し、頻度に [月単位] を選んだ場合、2 人のユーザーの有効期限の例は次のようになります。
User 最初の同意日 最初に有効期限が切れる日付 2 回目に有効期限が切れる日付 3 回目に有効期限が切れる日付 Alice 1 月 1 日 2 月 1 日 3 月 1 日 4 月 1 日 Bob 1 月 15 日 2 月 1 日 3 月 1 日 4 月 1 日 [Duration before re-acceptance required (days)](再同意を要求するまでの日数) 設定を使用して、ユーザーが使用条件ポリシーに再同意する必要があるまでの日数を指定します。 このオプションにより、ユーザーは自分たちのスケジュールに従うことが可能になります。 たとえば、日数に 30 日を指定すると、2 人のユーザーの有効期限切れの例は次のようになります。
User 最初の同意日 最初に有効期限が切れる日付 2 回目に有効期限が切れる日付 3 回目に有効期限が切れる日付 Alice 1 月 1 日 1 月 31 日 3 月 2 日 4 月 1 日 Bob 1 月 15 日 2 月 14 日 3 月 16 日 4 月 15 日 [期限切れの同意] と [もう一度同意を求めるまでの期間 (日数)] の両方の設定を使用することもできますが、通常はどちらか一方を使用します。
重要
([期限切れの同意] と [もう一度同意を求めるまでの期間 (日数)] のどちらの設定を使っているかに関係なく) 同意の有効期限が切れたユーザーには、セッションの有効期限が切れた場合にのみ、条件に再び同意することが求められます。
[条件付きアクセス] の下にある [Enforce with Conditional Access policy template] (条件付きアクセス ポリシーのテンプレートの適用) リストを使用して、利用規約ポリシーを適用するテンプレートを選択します。
Template 説明 カスタム ポリシー 使用条件ポリシーが適用されるユーザー、グループ、およびアプリを選択します。 後で条件付きアクセス ポリシーを作成する この利用規約ポリシーは、条件付きアクセス ポリシーを作成するときに、制御の許可一覧に表示されます。 重要
条件付きアクセス ポリシー規制 (利用規約ポリシーを含む) は、サービス アカウントに対する強制をサポートしていません。 サービス アカウントはすべて、条件付きアクセス ポリシーから除外することをお勧めします。
カスタム条件付きアクセス ポリシーを使うと、特定のクラウド アプリケーションやユーザー グループまで、きめ細かい利用規約ポリシーを有効にできます。 詳細については、「クイック スタート: クラウド アプリにアクセスする前に利用規約への同意を要求するを参照してください。
[作成] を選択します
カスタム条件付きアクセス テンプレートを選んだ場合、表示される新しい画面でカスタム条件付きアクセス ポリシーを作成できます。 新しい利用規約ポリシーが表示されるようになります。
デバイスごとの利用規約
[各デバイスでユーザーによる同意が必要] 設定を使用すると、エンド ユーザーがアクセスするすべてのデバイスで使用条件ポリシーに同意しなければならないようにすることができます。 エンド ユーザーのデバイスを Microsoft Entra ID に登録する必要があります。 デバイスが登録されると、デバイス ID を使用して各デバイスに利用規約ポリシーが適用されます。 これらのエクスペリエンスは、デバイスと使用されるプラットフォームまたはソフトウェアを参加させるアクセス許可に依存します。 詳細については、「Microsoft Entra ID のデバイス ID」に関する記事をご覧ください。
デバイスごとの利用規約には、次の制約があります。
- Microsoft Intune Enrollment アプリ
Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c
はサポートされていません。 利用規約を必要とするすべての条件付きアクセス ポリシーからこれが確実に除外されているようにします。 - Microsoft Entra B2B ユーザーはサポートされていません。
ポリシーの変更
条件付きアクセス ポリシーは直ちに有効になります。 このポリシーが適用されると、管理者に Microsoft Entra 管理センターでエラーが表示される可能性があります。 新しいポリシーを満たすには、管理者はサインアウトしてサインインし直す必要があります。
重要
次の場合、新しいポリシーを満たすには、対象ユーザーはいったんサインアウトしてからサインインし直す必要があります。
- 利用規約ポリシーで条件付きアクセス ポリシーが有効になった場合
- または、第 2 の利用規約ポリシーが作成された場合
利用規約の詳細を編集する
利用規約ポリシーの詳細の一部を編集できますが、既存のドキュメントを変更することはできません。 詳細の編集方法を次の手順で説明します。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[使用条件] に移動します。
編集する利用規約ポリシーを選択します。
[条件の編集] を選択します。
[利用規約の編集] ペインでは、次のオプションを変更できます。
- [名前] – エンド ユーザーと共有されていない使用条件の内部名。
- [表示名] – エンド ユーザーが使用条件を表示しているときに表示される名前。
- [ユーザーは利用規約を展開する必要があります] – このオプションを [オン] に設定すると、エンド ユーザーは利用規約ポリシーのドキュメントに同意する前にそれを展開することが強制されます。
- 既存の使用条件ドキュメントを更新できます。
- 既存の使用条件に言語を追加できます。
完了したら、[保存] を選択して変更を保存します。
その他の設定を変更する場合は、新しい使用条件を作成する必要があります。
既存の使用条件のバージョンまたは PDF を更新する
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[使用条件] に移動します。
編集する利用規約ポリシーを選択します。
[条件の編集] を選択します。
新しいバージョンに更新する言語については、[アクション] 列の下にある [更新] を選択してください
右側のペインで、新しいバージョンの PDF をアップロードします。
また、ユーザーが次回サインインしたときにこの新しいバージョンに同意するように要求する場合、ここに [Require reaccept](再同意を要求する) トグル オプションもあります。
- ユーザーに再同意を要求する場合は、次回、条件付きアクセス ポリシーに定義されているリソースにアクセスしようとしたときに、この新しいバージョンに同意するように求めるメッセージが表示されます。
- ユーザーに再同意を要求しない場合は、以前の同意が最新状態となり、前に同意していない新しいユーザー、または同意の有効期限が切れたユーザーにのみ、新しいバージョンが表示されます。 セッションの有効期限が切れるまで、[Require reaccept] (再同意を要求する) によってユーザーに新しい使用条件の受け取りが要求されることはありません。 確実に再同意するには、このケースの使用条件を削除して再作成するか、新規作成します。
新しい PDF をアップロードして再同意を決定したら、ウィンドウの下部にある [追加] を選択します。
ドキュメント列に、最新のバージョンが表示されます。
言語の追加
次の手順では、使用条件に言語を追加する方法を説明します。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[使用条件] に移動します。
編集する利用規約ポリシーを選択します。
[条件の編集] を選択します。
ページの下部にある [言語の追加] を選択します。
[Add terms of use language]\(使用条件の言語の追加\) ウィンドウで、ローカライズされた PDF をアップロードして、言語を選択します。
[言語の追加] を選択します。
[保存] を選びます。
[追加] を選択して言語を追加します。
以前のバージョンの使用条件を表示する
- 少なくとも セキュリティリーダーとして Microsoft Entra 管理センター にログインしてください。
- [保護]>[条件付きアクセス]>[使用条件] に移動します。
- バージョン履歴を表示する利用規約ポリシーを選択します。
- [Languages and version history]\(言語とバージョン履歴\) を選択します。
- [See previous versions](前のバージョンを表示する) を選択します。
- ドキュメントの名前を選択して、そのバージョンをダウンロードできます。
同意したユーザーと拒否したユーザーのレポートの表示
[使用条件] ブレードには、同意したユーザーと拒否したユーザーの数が表示されます。 これらの数および同意したユーザーと拒否したユーザーは、利用規約ポリシーが有効な間、保存されます。
少なくとも セキュリティ リーダーとして、Microsoft Entra 管理センター にサインインしてください。
[保護]>[条件付きアクセス]>[使用条件] に移動します。
利用規約ポリシーについて、[同意] または [拒否] の下に表示される数値を選択すると、現在のユーザーの状態が表示されます。
- 既定では、次のページに、使用条件への同意に関する各ユーザーの現在の状態が表示されます。
- 以前の同意イベントを表示する場合は、 [Current State](現在の状態) ドロップダウンから [すべて] を選択できます。 これで、各ユーザーのイベントを各バージョンと内容について詳しく確認できます。
- または、[バージョン] ドロップダウンから特定のバージョンを選択して、その特定のバージョンに同意したユーザーを確認することもできます。
個々のユーザーの履歴を表示するには、省略記号 (...)、[履歴の表示] の順に選択します。 履歴の表示ウィンドウでは、すべての同意、拒否、および有効期限切れの履歴を確認できます。
ユーザー受け入れレコードの削除
次の場合に、ユーザー受け入れレコードが削除されます。
- 管理者が使用条件を明示的に削除した場合。
- この変更が発生した場合、その特定の使用条件に関連付けられているすべての受け入れレコードも削除されます。
- テナントは、その Microsoft Entra ID P1 または P2 ライセンスを失います。
- テナントは削除されます。
Microsoft Entra 監査ログの表示
その他のアクティビティを確認できるように、Microsoft Entra 使用条件ポリシーには監査ログが用意されています。 ユーザーが同意するたびに、イベントがトリガーされます。そのイベントは、監査ログに記録され、30 日間保存されます。 これらのログはポータルで表示することや、.csv ファイルとしてダウンロードすることができます。
Microsoft Entra 監査ログを使い始める手順は次のとおりです:
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]>[条件付きアクセス]>[使用条件] に移動します。
利用規約ポリシーを選択します。
[監査ログの表示] を選択します。
Microsoft Entra の「監査ログ」画面では、リストを使って情報をフィルターし、特定の監査ログ情報だけを対象にすることができます。
[ダウンロード] を選択し、情報を .csv ファイルでダウンロードして、ローカルで使用することもできます。
ログを選択すると、その他のアクティビティの詳細を含むウィンドウが表示されます。
ユーザーに表示される利用規約の外観
使用条件ポリシーを作成して適用すると、対象ユーザーにはサインイン時に次の画面が表示されます。
ユーザーは利用規約ポリシーを表示し、必要な場合はボタンを使用して拡大/縮小できます。ユーザーは、使用条件ポリシーに 1 回だけ同意すればよく、以降のサインインで使用条件ポリシーが再び表示されることはありません。
ユーザーが利用規約を確認する方法
ユーザーは、以下の手順を使用して、同意した使用条件ポリシーを確認できます。
- https://myaccount.microsoft.com/ にサインインします。
- [Settings & Privacy]\(設定とプライバシー\) を選択します。
- [プライバシー] を選択します。
- [Organization's notice](組織の通知) の下で、確認する利用規約の横にある [表示] を選択します。
利用規約を削除する
次の手順を使って、古い利用規約ポリシーを削除できます。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[使用条件] に移動します。
- 削除する利用規約ポリシーを選びます。
- [条件の削除] を選択します。
- 続行するかどうかを確認するメッセージが表示されたら、[はい] を選択します。
- 利用規約ポリシーが表示されなくなります。
B2B ゲスト
条件付きアクセスと利用規約ポリシーを使用すると、B2B ゲスト ユーザーに直接ポリシーを適用できます。 招待の利用フロー中に、ユーザーに対して利用規約ポリシーが表示されます。
利用規約ポリシーは、ユーザーが Microsoft Entra ID でゲスト アカウントを持っている場合にのみ表示されます。 現在の SharePoint Online には、ユーザーがゲスト アカウントを持っていなくてもドキュメントまたはフォルダーを共有できる外部共有受信者エクスペリエンスがあります。 この場合、使用条件ポリシーは表示されません。
クラウド アプリのサポート
利用規約ポリシーは、Azure Information Protection や Microsoft Intune など、異なるクラウド アプリで使用できます。 このサポートは現在プレビューの段階です。
Azure Information Protection
Azure Information Protection アプリの条件付きアクセス ポリシーを構成し、ユーザーが保護されたドキュメントにアクセスするときに利用規約ポリシーを強制することができます。 この構成により、ユーザーが保護されたドキュメントに初めてアクセスする前に、利用規約ポリシーがトリガーされます。
Microsoft Intune Enrollment
Microsoft Intune Enrollment アプリの条件付きアクセス ポリシーを構成し、Intune にデバイスを登録する前に使用条件ポリシーを要求することができます。 詳しくは、組織に適した利用規約ソリューションの選択に関するブログ投稿をご覧ください。
Note
デバイスごとの利用規約では、Intune Enrollment アプリはサポートされていません。
iOS/iPadOS 自動デバイス登録の場合、カスタム URL を Microsoft Entra 使用条件ポリシーに追加しても、ユーザーはセットアップ アシスタントの URL からそのポリシーを開いて読み取ることはできません。 ユーザーがポリシーを読み取ることができるのは、セットアップ アシスタントが Intune ポータル サイト Web サイトから、または Intune ポータル サイト アプリで完了した後です。
よく寄せられる質問
Q: ユーザーのサインインが 2 つ表示されるのはなぜですか? 1 回の中断と 1 回の成功です。
A: ユーザーがまだ使用条件に同意していない場合、管理者に 2 つのサインインが表示される可能性がありますが、このシナリオは設計によって異なります。 これらのエントリは関連付け ID を共有します。
ユーザーがトークンで使用条件ポリシーの承諾を証明できないため、サインインが 1 回中断されます。 サインイン ログの additional details フィールドに次のようなメッセージが表示されます。
ユーザーは認証を終了する前に追加の要件を満たす必要があり、別のページ (使用条件やサードパーティの MFA プロバイダーなど) にリダイレクトされました。 このコードだけで、ユーザー側のサインインの失敗が示されるわけではありません。 サインイン ログは、このチャレンジが成功したか失敗したかを示す場合があります。
ユーザーが使用条件に同意すると、他のサインインは成功します。
Q:利用規約ポリシーが有効になっていると、PowerShell を使用してサインインできません。
A:利用規約は、対話形式で認証する場合にのみ同意できます。
Q:ユーザーが利用規約に同意したかどうか、および同意した日時を確認するにはどうすればよいですか?
A: [利用規約] ブレードで [Accepted](同意済み) の下の数字を選択します。 Microsoft Entra 監査ログでも同意アクティビティを表示または検索できます。 詳しくは、「同意したユーザーと拒否したユーザーのレポートの表示」および「Microsoft Entra 監査ログの表示」をご覧ください。
Q:情報はどのくらいの期間保存されますか?
A:利用規約レポートのユーザーの数および同意したユーザーと拒否したユーザーの数は、利用規約が有効な間、保存されます。 Microsoft Entra 監査ログは 30 日間保存されます。
Q: 使用条件の詳細の概要と Microsoft Entra 監査ログで、同意数が異なります。
A: 使用条件の詳細の概要は、その使用条件ポリシーの有効期間中保存されます。 Microsoft Entra 監査ログは 30 日間保存されます。
Q: 使用条件の詳細の概要とエクスポートされた CSV レポートで、同意数が異なります。
A: 利用規約の詳細の概要には、ポリシーの現在のバージョンの集計された同意数が反映されます (毎日 1 回更新されます)。 有効期限が有効になっているか、使用条件の同意が更新された場合 (再同意が必要です)、同意が期限切れになっているため、詳細の概要のカウントがリセットされ、このページに現在のバージョンの数が表示されます。 同意のすべての履歴は引き続き CSV レポートで取得できます。
Q:ハイパーリンクが利用規約ポリシーの PDF ドキュメント内にある場合、エンド ユーザーはそれらをクリックできますか?
A: はい。エンド ユーザーは、他のページへのハイパーリンクを選択できますが、ドキュメント内のセクションへのリンクはサポートされていません。 また、利用規約ポリシー PDF 内のハイパーリンクは、Microsoft Entra マイ アプリまたは MyAccount ポータルからアクセスするときは機能しません。
Q:利用規約ポリシーで複数の言語はサポートされていますか?
A:はい。 管理者は、複数の PDF ドキュメントをアップロードして各言語に対応付けることができます。 エンド ユーザーがサインインすると、ブラウザーの言語設定を確認して一致するドキュメントを表示します。 一致しない場合は、既定のドキュメント (最初にアップロードされたドキュメント) が表示されます。
Q:利用規約ポリシーはいつトリガーされますか?
A: 使用条件ポリシーは、サインイン エクスペリエンスの間にトリガーされます。
Q:どのようなアプリケーションを利用規約ポリシーの対象にできますか?
A:最新の認証を使ったエンタープライズ アプリケーションに条件付きアクセス ポリシーを作成できます。 詳細については、エンタープライズ アプリケーションに関するページをご覧ください。
Q:特定のユーザーまたはアプリケーションに複数の利用規約ポリシーを追加できますか?
A:はい、そのグループやアプリケーションを対象とする複数の条件付きアクセス ポリシーを作成することで可能です。 複数の使用条件の対象になっているユーザーは、一度に 1 つのポリシーに同意する必要があります。
Q:ユーザーが利用規約ポリシーを拒否した場合はどうなりますか?
A: ユーザーは、アプリケーションへのアクセスをブロックされます。 ユーザーは、アクセスするには、もう一度サインインして使用条件に同意する必要があります。
Q:以前に同意した利用規約ポリシーの同意を取り消すことはできますか?
A:以前に同意した利用規約ポリシーを確認することはできますが、現在、同意を取り消す方法はありません。
Q: Intune の使用条件も使用している場合はどうなりますか?
A: Microsoft Entra の使用条件と Intune のご契約条件の両方を構成している場合、ユーザーはそれら両方に同意する必要があります。 詳しくは、組織のブログ投稿に適した使用条件ソリューションの選択に関する記事をご覧ください。
Q:利用規約サービスにはどのエンドポイントが認証に使用されますか?
A: 使用条件では、認証に https://tokenprovider.termsofuse.identitygovernance.azure.com、https://myaccount.microsoft.com、https://account.activedirectory.windowsazure.com のエンドポイントを利用します。 組織に登録用の URL の許可リストがある場合は、サインイン用の Microsoft Entra エンドポイントと共に、これらのエンドポイントを許可リストに追加する必要があります。