次の方法で共有

Windows 365 Business の条件付きアクセス ポリシーを設定する

  • [アーティクル]

条件付きアクセスとは、コンテンツへのアクセスを許可する前に特定の条件を満たすことを要求することで、システム内の規制対象コンテンツを保護することです。 条件付きアクセス ポリシーは、簡単に言えば、if-then ステートメントです。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。 たとえば、給与管理者が、給与処理アプリケーションにアクセスする必要があり、そのために多要素認証 (MFA) の実行を要求されるとします。

条件付きアクセスを使用すると、次の 2 つの主要な目標を達成できます。

  • 場所や時間を問わずユーザーが生産性を高めることができるようにする。
  • 組織の資産を保護する。

条件付きアクセス ポリシーを使用すると、必要に応じて適切なアクセス制御を適用して、組織のセキュリティを維持し、不要なときにユーザーの邪魔にならないようにすることができます。

ユーザーに再認証を求める頻度は、Microsoft Entra セッションの有効期間の構成設定によって異なります。 資格情報を記憶しておくことは便利ですが、個人のデバイスを使用した展開の安全性が低下する可能性もあります。 ユーザーを保護するために、クライアントが Microsoft Entra 多要素認証の資格情報をより頻繁に要求するようにすることができます。 条件付きアクセスのサインイン頻度を使用して、この動作を構成できます。

クラウド PC に対して条件付きアクセス ポリシーを割り当てる

条件付きアクセス ポリシーは、既定ではテナントに対して設定されません。 次のいずれかのプラットフォームを使用して、CA ポリシーをクラウド PC ファーストパーティ アプリのターゲットにすることができます:

使用する方法に関係なく、ポリシーはクラウド PC エンド ユーザー ポータルと、クラウド PC への接続に適用されます。

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ]>[条件付きアクセス]>[新しいポリシーの作成] を選択します。

  2. 特定の条件付きアクセス ポリシーの [名前] を指定します。

  3. [ユーザー] の下で、[0 人のユーザーとグループが選択されています] を選択します。

  4. [含む] タブで、[ユーザーとグループの選択] を選択し、[ユーザーとグループ] をオンにします。 新しいウィンドウが自動的に開かない場合は、[0 人のユーザーとグループが選択されています] を選択します。

  5. 開いた [ユーザーとグループの選択] ウィンドウで、CA ポリシーの対象となる特定のユーザーまたはグループを検索して選択し、[選択] を選択します。

  6. [ターゲット リソース] の下で、[ターゲット リソースが選択されていません] を選択します。

  7. [含む] タブで [アプリの選択] を選択し、[選択][なし] を選択します。

  8. [選択] ウィンドウで、保護しようとしているリソースに基づいて次のアプリを検索して選択します:

    • Windows 365 (アプリ ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5)。 "クラウド" を検索してこのアプリを見つけることもできます。 このアプリは、ユーザーのリソース リストを取得するときや、ユーザーがクラウド PC で再起動などのアクションを開始するときに使用されます。
    • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。 このアプリは Windows Virtual Desktop としても表示される場合があります。 このアプリは、接続中およびクライアントがサービスに診断情報を送信するときに、Azure Virtual Desktop ゲートウェイへの認証に使用されます。
    • Microsoft リモート デスクトップ (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) および Windows クラウド ログイン (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。 これらのアプリは、環境でシングル サインオンを構成する場合にのみ必要です。 これらのアプリは、クラウド PC に対してユーザーを認証するために使用されます。

    これらのアプリ間で条件付きアクセス ポリシーを一致させることをお勧めします。 これを使用すると、ポリシーがクラウド PC エンドユーザー ポータル、ゲートウェイへの接続、およびクラウド PC に適用され、一貫したエクスペリエンスが実現します。 アプリを除外する場合は、これらのアプリもすべて選択する必要があります。

    重要

    シングル サインオンが有効になっている場合、クラウド PC への認証には現在 Microsoft リモート デスクトップ Entra ID アプリが使用されます。 今後の変更により、認証は Windows クラウド ログイン Entra ID アプリに移行されます。 スムーズに移行するには、両方の Entra ID アプリを CA ポリシーに追加する必要があります。

    注:

    条件付きアクセス ポリシーを構成するときに Windows クラウド ログイン アプリが表示されない場合は、以下の手順に従ってアプリを作成してください。 これらの変更を行うには、サブスクリプションに対する所有者または共同作成者のアクセス許可が必要です:

    1. Azure portal にサインインします。
    2. Azure サービスのリストから [サブスクリプション] を選択します。
    3. サブスクリプション名を選択します。
    4. [リソース プロバイダー] を選択し、Microsoft.DesktopVirtualization を選択します。
    5. 上部にある [登録] を選択します。

    リソース プロバイダーが登録されると、ポリシーを適用するアプリを選択するときに、条件付きアクセス ポリシー構成に Windows クラウド ログイン アプリが表示されます。 Azure Virtual Desktop を使用していない場合は、Windows クラウド ログイン アプリが利用可能になった後に、Microsoft.DesktopVirtualization リソース プロバイダーを登録解除できます。

  9. ポリシーを微調整する場合は、[許可] で、[0 個のコントロールが選択されました] を選択します。

  10. [許可] ウィンドウで、このポリシーに割り当てられているすべてのオブジェクトに適用するアクセスの許可またはブロック オプションを選択し、[選択] を選択します。

  11. 最初にポリシーをテストする場合は、[ポリシーを有効にする][レポートのみ] を選択します。 [オン] に設定した場合、ポリシーを作成するとすぐに適用されます。

  12. [作成] を選択して、ポリシーを作成します。

アクティブなポリシーと非アクティブなポリシーの一覧は、条件付きアクセス UI の [ポリシー] ビューで確認できます。

サインイン頻度を構成する

サインイン頻度ポリシーを使用すると、Microsoft Entra ベースのリソースにアクセスするときにユーザーがサインインする必要がある頻度を構成できます。 これは環境のセキュリティ保護に役立ち、ローカル OS で MFA が要求されない場合や非アクティブになった後に自動的にロックされない可能性がある個人用デバイスでは特に重要です。 リソースにアクセスするときに Microsoft Entra ID から新しいアクセス トークンが要求された場合にのみ、ユーザーは認証を求められます。

サインイン頻度ポリシーは、選択した Microsoft Entra アプリに基づいて異なる動作になります:

アプリ名 アプリ ID 動作
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 ユーザーがクラウド PC のリストを取得するとき、およびユーザーがクラウド PC で再起動などのアクションを開始するときに、再認証を強制します。
Azure 仮想デスクトップ 9cdead84-a844-4324-93f2-b2e6bb768d07 接続中にユーザーが Azure Virtual Desktop ゲートウェイに対して認証するときに、再認証を強制します。
Microsoft リモート デスクトップ

Windows クラウド ログイン		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 シングル サインオンが有効になっている場合、ユーザーがクラウド PC にサインインするときに再認証を強制します。

クライアントはクラウド PC への認証に Microsoft リモート デスクトップ アプリから Windows クラウド ログイン アプリに切り替えるため、両方のアプリを一緒に構成する必要があります。

ユーザーに再度サインインを求めるまでの期間を構成するには:

  1. 以前に作成したポリシーを開きます。
  2. [セッション] の下で、[0 個のコントロールが選択されました] を選択します。
  3. [セッション] ウィンドウで、[サインイン頻度] を選択します。
  4. [定期的な再認証] または [毎回] を選択します。
    • [定期的な再認証] を選択した場合は、新しいアクセス トークンを必要とするアクションを実行するときにユーザーに再度サインインを求めるまでの期間の値を設定し、[選択] を選択します。 たとえば、値を 1 に設定し、単位を [時間] に設定すると、最後のユーザー認証から 1 時間以上経過してから接続が開始される場合は、多要素認証が必要になります。
    • [毎回] オプションは現在プレビューで利用可能であり、クラウド PC でシングル サインオンが有効になっている場合に Microsoft リモート デスクトップ アプリと Windows クラウド ログイン アプリに適用した場合にのみサポートされます。 [毎回] を選択した場合、ユーザーは前回の認証から 5 - 10 分経過後に新しい接続を開始するときに再認証を求められます。
  5. ページの下部で、[保存] を選択します。

注:

  • 再認証は、ユーザーがリソースに対して認証する必要があり、新しいアクセス トークンが必要な場合にのみ行われます。 接続が確立されると、設定したサインイン頻度よりも接続が長く続いた場合でも、ユーザーにプロンプトは表示されません。
  • 設定したサインイン頻度の後にネットワークの中断が発生し、セッションが強制的に再確立される場合、ユーザーは再認証する必要があります。 これを使用すると、不安定なネットワークでは認証要求が頻繁に発生する可能性があります。