条件付きアクセスは、セキュリティで保護されたデバイスのみがアプリケーションにアクセスできるようにすることで、ユーザーとエンタープライズ情報をより適切に保護するのに役立つ機能です。
条件付きアクセスを使用すると、デバイスのリスク レベルに基づいてエンタープライズ情報へのアクセスを制御できます。 これにより、信頼されたアプリケーションを使用して、信頼されたユーザーを信頼されたデバイスに保持できます。
デバイスが準拠状態に戻るまでアプリケーションの実行を停止するようにポリシーを適用することで、デバイスとアプリケーションがネットワークから情報を実行およびアクセスできるセキュリティ条件を定義できます。
Defender for Endpoint での条件付きアクセスの実装は、Microsoft Intune (Intune) デバイス コンプライアンス ポリシーとMicrosoft Entra条件付きアクセス ポリシーに基づいています。
コンプライアンス ポリシーは、条件付きアクセスと共に使用され、1 つ以上のデバイス コンプライアンス ポリシー規則を満たすデバイスのみがアプリケーションにアクセスできるようにします。
条件付きアクセス フローについて
条件付きアクセスは、デバイスで脅威が検出されると、脅威が修復されるまで機密性の高いコンテンツへのアクセスがブロックされるように配置されます。
フローは、デバイスに低リスク、中リスク、または高リスクがあると見なされることから始まります。 その後、これらのリスク判定がIntuneに送信されます。
Intuneでポリシーを構成する方法に応じて、条件付きアクセスを設定して、特定の条件が満たされたときにポリシーが適用されるようにすることができます。
たとえば、リスクの高いデバイスに条件付きアクセスを適用するようにIntuneを構成できます。
Intuneでは、デバイス コンプライアンス ポリシーがMicrosoft Entra条件付きアクセスと共に使用され、アプリケーションへのアクセスがブロックされます。 並行して、自動調査と修復プロセスが開始されます。
自動調査と修復が行われている間もユーザーはデバイスを使用できますが、脅威が完全に修復されるまで、エンタープライズ データへのアクセスはブロックされます。
デバイスで見つかったリスクを解決するには、デバイスを準拠状態に戻す必要があります。 デバイスにリスクが見つからない場合、デバイスは準拠状態に戻ります。
リスクに対処するには、次の 3 つの方法があります。
- 手動修復または自動修復を使用します。
- デバイス上のアクティブなアラートを解決します。 これにより、デバイスからリスクが削除されます。
- アクティブなポリシーからデバイスを削除できるため、条件付きアクセスはデバイスに適用されません。
手動修復では、secops 管理者がアラートを調査し、デバイスに表示されるリスクに対処する必要があります。 自動修復は、次のセクション「 条件付きアクセスの構成」で提供される構成設定を使用して構成されます。
手動修復または自動修復によってリスクが削除されると、デバイスは準拠状態に戻り、アプリケーションへのアクセスが許可されます。
次の一連のイベントの例では、条件付きアクセスの動作について説明します。
- ユーザーが悪意のあるファイルを開き、Defender for Endpoint によってデバイスに高リスクのフラグが設定されます。
- リスクの高い評価は、Intuneに渡されます。 並行して、自動調査が開始され、特定された脅威が修復されます。 手動修復を実行して、特定された脅威を修復することもできます。
- Intuneで作成されたポリシーに基づいて、デバイスは準拠していないとしてマークされます。 評価は、Intune条件付きアクセス ポリシーによってMicrosoft Entra IDに伝達されます。 Microsoft Entra IDでは、対応するポリシーが適用され、アプリケーションへのアクセスがブロックされます。
- 手動または自動の調査と修復が完了し、脅威が削除されます。 Defender for Endpoint は、デバイスにリスクがないことを確認し、デバイスが準拠状態Intune評価します。 Microsoft Entra IDは、アプリケーションへのアクセスを許可するポリシーを適用します。
- ユーザーはアプリケーションにアクセスできるようになりました。