準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイス、またはすべてのユーザーに多要素認証を要求する
Microsoft Intune をデプロイした組織では、デバイスから返された情報を使用して、以下のようなコンプライアンス要件を満たすデバイスを識別することができます。
- ロック解除に PIN が必要
- デバイスの暗号化が必要
- オペレーティング システムの最小または最大バージョンが必要
- デバイスが脱獄または root 化されていないことが必要
ポリシー準拠情報は Microsoft Entra ID に送信され、そこで条件付きアクセスによってリソースへのアクセスの許可またはブロックが決定されます。 デバイスの準拠ポリシーの詳細については、「Intune を使用して組織内のリソースへのアクセスを許可するように、デバイス上でルールを設定する」という記事を参照してください。
Microsoft Entra ハイブリッド参加済みデバイスを要求できるかどうかは、デバイスが既に Microsoft Entra ハイブリッドに参加しているかどうかによって決まります。 詳細については、「Microsoft Entra ハイブリッド参加を構成する」を参照してください。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシーの構成ミスによるロックアウトを防ぐため、緊急アクセス または break-glass アカウント。 万一、すべての管理者がロックアウトされるシナリオでは、緊急アクセス管理アカウントを使用してログインし、アクセスを回復するための手順を実行できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
- サービス アカウント および Service プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。
テンプレートのデプロイ
組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレートを使用するかを選ぶことができます。
条件付きアクセス ポリシーを作成する
次の手順は、多要素認証、組織の Intune コンプライアンス ポリシーに準拠しているとマークされるリソースにアクセスするデバイス、もしくは Microsoft Entra ハイブリッドに参加しているデバイスを要求する条件付きアクセス ポリシーを作成するのに役立ちます。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [リソースの ターゲット>リソース (旧称クラウド アプリ))>Includeで、 すべてのリソース (旧称 "すべてのクラウド アプリ") を選択します。
- 特定のアプリケーションをポリシーから除外する必要がある場合は、 [除外されたクラウド アプリの選択] で [除外] タブから選択して [選択] を選びます。
- [アクセス制御]>[付与] で
- [多要素認証を必須とする]、[準拠しているとしてマーク済みであるデバイスを必須とする]、または [Microsoft Entra ハイブリッド参加済みデバイスを必須とする] を選択します
- 複数のコントロールの場合、 [選択したコントロールのいずれかが必要] を選択します。
- [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
Note
前の手順を使用してすべてのユーザーおよびすべてのリソース (以前の "すべてのクラウド アプリ") に 対して準拠としてマークするデバイスを選択した場合でも、Intune に新しいデバイスを登録できます。 [デバイスは準拠としてマーク済みである必要がある] コントロールにより、Intune の登録や Microsoft Intune Web Company Portal アプリケーションへのアクセスはブロックされません。
既知の動作
Windows 7、iOS、Android、macOS、および一部の Microsoft 製ではない Web ブラウザーでは、Microsoft Entra ID によって、デバイスが Microsoft Entra ID に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。
サブスクリプションのライセンス認証
サブスクリプションのアクティブ化機能を使用して、ユーザーが Windows のあるバージョンから別のものに "ステップアップ" できるようにし、条件付きアクセス ポリシーを使用してアクセスを制御する組織では、[除外されたクラウド アプリの選択] を使用して、次のいずれかのクラウド アプリを条件付きアクセス ポリシーから除外する必要があります。
ユニバーサル ストア サービス API と Web アプリケーション、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
ビジネス向け Windows ストア、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
アプリ ID は両方のインスタンスで同じですが、クラウド アプリの名前はテナントによって異なります。
デバイスが長時間オフラインになっているとき、この条件付きアクセスの除外が適用されていない場合、デバイスは自動的に再アクティブ化されないことがあります。 この条件付きアクセスの除外を設定すると、サブスクリプションのアクティブ化が引き続きシームレスに機能するようになります。
KB5034848 以降の Windows 11 バージョン 23H2 から、サブスクリプションのアクティブ化を再アクティブ化する必要があるときに、トースト通知による認証を求められます。 トースト通知には、次のメッセージが表示されます。
お使いのアカウントには認証が必要です
職場または学校アカウントにサインインして、情報を確認してください。
また、[アクティブ化] ウィンドウに次のメッセージが表示される場合があります。
職場または学校アカウントにサインインして、情報を確認してください。
通常、認証のプロンプトは、デバイスが長時間オフラインになっている場合に発生します。 この変更により、KB5034848 以降の Windows 11 バージョン 23H2 の条件付きアクセス ポリシーを除外する必要がなくなります。 トースト通知によるユーザー認証のプロンプトが望ましくない場合でも、条件付きアクセス ポリシーは KB5034848 以降の Windows 11 バージョン 23H2 で使用できます。
次のステップ
条件付きアクセスのレポート専用モードを使用した影響を判断する