次の方法で共有

条件付きアクセスのトラブルシューティングを行う

  • [アーティクル]

この記事では、ユーザーが条件付きアクセスで保護されたリソースにアクセスできない場合、またはユーザーが保護されたリソースにアクセスできるがブロックする必要がある場合の対処方法について説明します。

Intune と条件付きアクセスを使用すると、Exchange Online や SharePoint Online などの Microsoft 365 サービスやその他のさまざまなサービスへのアクセスを保護できます。 この機能を使用すると、Intune に登録され、Intune または Microsoft Entra ID で設定した条件付きアクセス規則に準拠しているデバイスのみが会社のリソースにアクセスできることを確認できます。

条件付きアクセスの要件

条件付きアクセスを機能させるには、次の要件を満たす必要があります。

  • デバイスはモバイル デバイス管理 (MDM) に登録され、Intune によって管理されている必要があります。

  • ユーザーとデバイスの両方が、割り当てられた Intune コンプライアンス ポリシーに準拠している必要があります。

  • 既定では、ユーザーにデバイス コンプライアンス ポリシーを割り当てる必要があります。 これは、Intune 管理ポータルの Device Compliance>Compliance Policy Settings の下にある、コンプライアンス ポリシーが割り当てられていないデバイスMark デバイスの設定の構成によって異なります。

  • ユーザーが Outlook ではなくデバイスのネイティブ メール クライアントを使用している場合は、デバイスで Exchange ActiveSync をアクティブにする必要があります。 これは、iOS/iPadOS および Android Knox デバイスで自動的に発生します。

  • オンプレミス Exchange の場合は、Intune Exchange Connector を適切に構成する必要があります。 詳細については、「 Microsoft Intune での Exchange Connector のトラブルシューティング」を参照してください。

  • オンプレミスの Skype の場合は、ハイブリッド先進認証を構成する必要があります。 「 Hybrid Modern Auth Overviewを参照してください。

これらの条件は、Azure portal とデバイス インベントリ レポートで各デバイスに対して表示できます。

デバイスが準拠しているように見えるが、ユーザーがまだブロックされている

  • 適切なコンプライアンス評価のために、ユーザーに Intune ライセンスが割り当てられていることを確認します。

  • Knox 以外の Android デバイスは、ユーザーが受信した検疫メールの [ Get Started Now リンクをクリックするまで、アクセス権は付与されません。 これは、ユーザーが既に Intune に登録されている場合でも適用されます。 ユーザーが電話のリンクを含むメールを受け取らない場合は、PC を使用してメールにアクセスし、デバイスの電子メール アカウントに転送できます。

  • デバイスが最初に登録または更新されると、コンプライアンス情報と属性がデバイスに登録されるまでに時間がかかる場合があります。 しばらく待ってから再試行してください。

  • iOS/iPadOS デバイスの場合、既存の電子メール プロファイルによって、そのユーザーに割り当てられた Intune 管理者が作成した電子メール プロファイルの展開がブロックされ、デバイスが非準拠になる可能性があります。 このシナリオでは、ポータル サイト アプリは、手動で構成された電子メール プロファイルのために準拠していないことをユーザーに通知し、そのプロファイルを削除するようにユーザーに求めます。 ユーザーが既存の電子メール プロファイルを削除すると、Intune 電子メール プロファイルを正常に展開できます。 この問題を回避するには、登録する前に、デバイス上の既存の電子メール プロファイルを削除するようにユーザーに指示します。

  • デバイスがチェック コンプライアンス状態でスタックし、ユーザーが別のチェックインを開始できなくなる可能性があります。 この状態のデバイスがある場合:

    • デバイスが最新バージョンのポータル サイト アプリを使用していることを確認します。
    • デバイスを再起動します。
    • 異なるネットワーク (携帯電話、Wi-Fi など) で問題が解決しないかどうかを確認します。

    問題が解決しない場合は、「Microsoft Intune でのGet サポート」の説明に従ってMicrosoft サポートにお問い合わせください

  • 一部の Android デバイスは暗号化されているように見えますが、ポータル サイト アプリはこれらのデバイスを暗号化されていないと認識し、非準拠としてマークします。 このシナリオでは、デバイスのスタートアップ パスコードを設定するように求める通知がポータル サイト アプリに表示されます。 通知をタップし、既存の PIN またはパスワードを確認した後、安全な起動画面で [デバイスを起動する PIN をする]オプションを選択し、ポータル サイト アプリからデバイスの [コンプライアンスの確認] ボタンをタップします。 これで、デバイスが暗号化として検出されます。

    Note

    一部のデバイス製造元は、ユーザーによって設定された PIN ではなく、既定の PIN を使用してデバイスを暗号化します。 Intune では、既定の PIN を使用する暗号化が安全でないものとして表示され、ユーザーが新しい既定以外の PIN を作成するまで、それらのデバイスは非準拠としてマークされます。

  • 登録され、準拠している Android デバイスは、最初に企業リソースにアクセスしようとしたときにブロックされ、検疫通知を受け取る可能性があります。 これが発生した場合は、ポータル サイト アプリが実行されていないことを確認し、検疫メールで Get Started Now リンクを選択して評価をトリガーします。 これは、条件付きアクセスが最初に有効になっている場合にのみ行う必要があります。

  • 登録されている Android デバイスでは、"証明書が見つかりません" というメッセージが表示され、Microsoft 365 リソースへのアクセス権が付与されない場合があります。 ユーザーは、登録済みデバイスで次のように Enable Browser Access オプションを有効にする必要があります。

    1. ポータル サイト アプリを開きます。
    2. トリプル ドット (...) またはハードウェア メニュー ボタンから [設定] ページに移動します。
    3. [ブラウザー アクセスを許可する] ボタンを選択します。
    4. Chrome ブラウザーで、Microsoft 365 からサインアウトし、Chrome を再起動します。

  • デスクトップ アプリケーションでは、Web ブラウザーまたは認証ブローカーに表示される認証プロンプトに依存する最新の認証方法を使用する必要があります。 パスワード 直接送信するスクリプト 認証ブローカーを使用する場合にのみ、デバイスの ID の証明を提供できます。

デバイスがブロックされ、検疫電子メールが受信されない

  • デバイスが Exchange ActiveSync デバイスとして Intune 管理コンソールに存在することを確認します。 そうでない場合は、おそらく Exchange Connector の問題が原因でデバイスの検出が失敗する可能性があります。 詳細については、「 Intune Exchange Connector をトラブルシューティングする」を参照してください。

  • Exchange Connector は、デバイスをブロックする前に、アクティブ化 (検疫) メールを送信します。 デバイスがオフラインの場合、アクティブ化メールが届かない可能性があります。

  • デバイス上の電子メール クライアントが、Poll ではなく Push を使用して電子メールを取得するように構成されているかどうかを確認します。 その場合、ユーザーがメールを見逃す可能性があります。 Pollに切り替えて、デバイスが電子メールを受信するかどうかを確認します。

デバイスが準拠していないが、ユーザーがブロックされていない

  • Windows PC の場合、条件付きアクセスでは、ネイティブ電子メール アプリ、先進認証を使用した Office 2013、または Office 2016 のみがブロックされます。 以前のバージョンの Outlook または Windows PC 上のすべてのメール アプリをブロックするには、方法: 条件付きアクセスを使用して Microsoft Entra ID へのレガシ認証をブロックするに従って、Microsoft Entra Device Registration と Active Directory フェデレーション サービス (AD FS) (AD FS) の構成が必要です。

  • デバイスが Intune から選択的にワイプまたはインベントリから削除された場合は、提供終了後数時間も引き続きアクセスできる可能性があります。 これは、Exchange がアクセス権を 6 時間キャッシュするためです。 このシナリオでは、廃止されたデバイス上のデータを保護する他の方法を検討してください。

  • Surface Hub、一括登録、DEM に登録された Windows デバイスは、Intune のライセンスが割り当てられているユーザーがサインインしたときに条件付きアクセスをサポートできます。 ただし、適切な評価を行うには、コンプライアンス ポリシーを (ユーザー グループではなく) デバイス グループに展開する必要があります。

  • コンプライアンス ポリシーと条件付きアクセス ポリシーの割り当てを確認します。 ポリシーが割り当てられているグループにユーザーがいない場合、または除外されているグループ内にある場合、ユーザーはブロックされません。 割り当てられたグループ内のユーザーのデバイスのみがコンプライアンスをチェックされます。

非準拠のデバイスがブロックされていない

デバイスが準拠していないが、引き続きアクセスできる場合は、次のアクションを実行します。

  • ターゲット グループと除外グループを確認します。 ユーザーが適切なターゲット グループにいない場合、または除外グループに含まれている場合、ユーザーはブロックされません。 ターゲット グループ内のユーザーのデバイスのみがコンプライアンスをチェックされます。

  • デバイスが検出されていることを確認します。 ユーザーが Exchange 2013 サーバーにいる間、Exchange コネクタは Exchange 2010 CAS を指していますか? この場合、既定の Exchange ルールが [許可] の場合、ユーザーがターゲット グループに含まれている場合でも、Intune は Exchange へのデバイスの接続を認識できません。

  • Exchange でのデバイスの存在/アクセス状態の確認:

    • メールボックスのすべてのモバイル デバイスの一覧を取得するには、次の PowerShell コマンドレットを使用します:"Get-MobileDeviceStatistics -mailbox mbx"。 デバイスが一覧にない場合は、Exchange にアクセスしていません。 詳細については、 Exchange PowerShell のドキュメントを参照してください。

    • デバイスが一覧表示されている場合は、'Get-CASmailbox -identity:'upn' を使用します。 |fl' コマンドレットを使用してアクセス状態に関する詳細情報を取得し、その情報をMicrosoft サポートに提供します。 詳細については、 Exchange PowerShell のドキュメントを参照してください。

アプリベースの条件付きアクセスでのサインイン エラー

Intune アプリ保護ポリシーは、Intune で管理していないデバイスでも、アプリ レベルで会社のデータを保護するのに役立ちます。 ユーザーが保護されたアプリケーションにサインインできない場合は、アプリベースの条件付きアクセス ポリシーに問題がある可能性があります。 詳細なガイダンスについては、「 条件付きアクセスに関するサインインの問題をトラブルシューティングする 」を参照してください。