Office 365 サービスをクラウド PC に制限する

[アーティクル]
01/31/2025

管理者は、クラウド PC 以外のデバイス上のOffice 365 サービスへのアクセスを拒否できます。これを行うには、この記事で説明されているように、条件付きアクセスポリシーとデバイスフィルター Microsoft Entra構成できます。次の手順に従って、ユーザーがクラウド PC をプライマリデバイスとして使用することを確認できます。このようにして、企業のリソースとサービスのセキュリティを向上させることができます。

この記事では、Office 365 サービスへのアクセスを制限する方法について説明します。認証ソースとしてMicrosoft Entra IDを使用する任意のクラウドサービスでも、同じ戦略を使用できます。

Microsoft Entra セキュリティグループを作成して、新しいポリシーによって制御されるユーザーを管理します。このグループに、新しいポリシーの対象となるすべてのクラウド PC ユーザーを追加します。このグループ内のユーザーのみが、Office 365 サービスにアクセスするときにクラウド PC の使用に制限されます。ユーザーのアクセス権を変更する場合は、このグループから削除するだけです。
管理センター Microsoft Intuneサインインし、[エンドポイントセキュリティ>Conditional Access>新しいポリシーを作成する] を選択します。
新しい条件付きアクセスポリシーの [名前] を 入力します。たとえば、「OFFICE 365アクセスを CPC に制限する」などです。
選択した 0 人のユーザーとグループを選択>Include>ユーザーとグループ>ユーザーとグループを選択>作成したMicrosoft Entraセキュリティグループを選択>選択します。
[ターゲットリソースが選択されていない>Include>アプリ>None ([選択] の下) を選択>検索し、[Office 365>選択] を選択します。
[除外>None ([除外されたクラウドアプリの選択] の下) を選択>、Azure Virtual Desktop と Windows 365 アプリを検索して選択>選択します。
[条件] > [未構成] ([デバイスのフィルター]の下) で、選択した 0 個の条件を選択します。
[ デバイスのフィルター] ウィンドウで、次の操作を行 います。
1. [ 構成] を[はい] に設定します。
2. [ フィルター処理されたデバイスをポリシーから除外する] を選択します。
3. [プロパティ>Model] のドロップダウンオプションを選択します。
4. [ Operator>Starts with] のドロップダウンオプションを選択します。
5. [ 値] のテキストボックスに、値を Cloud PC として入力します。クラウド PC の名前付け規則が変更された場合は、デバイス名と一致するようにフィルター値を変更します。
6. [ 完了] を選択 してフィルターを設定します。
必要に応じて、このポリシーでさらにオプションを設定できますが、このような追加は、この記事の範囲外です。
選択 した 0 個のコントロール ( [許可] で) >Block Access>Select を選択します。
[オン] を選択します ([ポリシーの有効化] の下)。このポリシーでは、ユーザーがクラウド以外の PC デバイス上のOffice 365 サービスにアクセスできないように制限します。ポリシーを適用する前に 、[レポートのみ ] を選択してポリシーを監視し、信頼度を高めることができます。
[ 作成] を 選択して、ポリシーの作成を完了します。