Intune で使用できる条件付きアクセス ポリシーには、デバイスベースの条件付きアクセスとアプリベースの条件付きアクセスの 2 種類があります。 それぞれをサポートするには、関連する Intune ポリシーを構成する必要があります。 Intune ポリシーが設定されて展開されると、条件付きアクセスを使用して、Exchange へのアクセスを許可またはブロックしたり、ネットワークへのアクセスを制御したり、モバイル脅威防御ソリューションと統合したりできます。
この記事は、Intune のモバイル "デバイス" のコンプライアンス機能と Intune のモバイル "アプリケーション" 管理 (MAM) 機能の使用方法を理解するのに役立ちます。
注:
条件付きアクセスは、Microsoft Entra ID P1 または P2 ライセンスに含まれるMicrosoft Entra機能です。 Intune は、モバイル デバイス コンプライアンスとモバイル アプリ管理をソリューションに加えて、この機能を強化します。 Intune からアクセスされる条件付きアクセス ノードは、Microsoft Entra ID からアクセスされるノードと同じです。
デバイスベースの条件付きアクセス
Intune と Microsoft Entra ID が連携して、管理対象デバイスと準拠デバイスのみがorganizationのメール、Microsoft 365 サービス、サービスとしてのソフトウェア (SaaS) アプリ、およびオンプレミス アプリにアクセスできることを確認します。 さらに、Microsoft Entra ID にポリシーを設定して、Intune に登録されているドメイン参加コンピューターまたはモバイル デバイスのみが Microsoft 365 サービスにアクセスできるように設定できます。
Intune では、デバイス コンプライアンス ポリシーを展開して、デバイスが予想される構成とセキュリティの要件を満たしているかどうかを判断します。 コンプライアンス ポリシーの評価では、Intune と Microsoft Entra ID の両方に報告されるデバイスのコンプライアンス状態が決定されます。 条件付きアクセス ポリシーでは、デバイスのコンプライアンス状態を使用して、そのデバイスからのorganizationのリソースへのアクセスを許可するかブロックするかを決定できるのは、Microsoft Entra ID です。
Exchange Online およびその他の Microsoft 365 製品のデバイス ベースの条件付きアクセス ポリシーは、 Microsoft Intune 管理センターを通じて構成されます。
詳細については、「Microsoft Entra ID で条件付きアクセスを使用してマネージド デバイスを要求する」を参照してください。
Intune のデバイス コンプライアンスの詳細については、こちらを参照してください。
注:
Android 個人所有の仕事用プロファイル デバイス上のブラウザー アプリからユーザーがアクセスするコンテンツに対してデバイス ベースのアクセスを有効にする場合、2021 年 1 月より前に登録したユーザーは、次のようにブラウザー アクセスを有効にする必要があります。
- ポータル サイト アプリを起動します。
- メニューから [設定] ページに移動します。
- [ブラウザー アクセスを有効にする] セクションで、[有効] ボタンをタップします。
- ブラウザー アプリを閉じてから再起動します。
これにより、ブラウザー アプリでアクセスできますが、アプリ内で開くブラウザー WebView にはアクセスできません。
Microsoft Intune を制御するために条件付きアクセスで使用できるアプリケーション
Microsoft Entra管理センターで条件付きアクセスを構成する場合、次の 2 つのアプリケーションから選択できます。
- Microsoft Intune - このアプリケーションは、Microsoft Intune 管理センターとデータ ソースへのアクセスを制御します。 Microsoft Intune 管理センターとデータ ソースをターゲットにする場合は、このアプリケーションで許可/制御を構成します。
- Microsoft Intune Enrollment - このアプリケーションを使用すると、登録ワークフローを制御できます。 登録プロセスを対象にする場合は、このアプリケーションで許可または制御を構成します。 詳細については、「 Intune デバイス登録に多要素認証を要求する」を参照してください。
ネットワーク アクセス制御に基づく条件付きアクセス
Intune は Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーと統合され、Intune 登録とデバイスのコンプライアンス対応状態に基づいたアクセス制御が提供されます。
ユーザーは、使用しているデバイスが管理され、Intune デバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、会社の Wi-Fi や VPN リソースへのアクセスを許可または拒否されます。
- NAC と Intune の統合について詳しくは、こちらをご覧ください。
デバイスのリスクに基づく条件付きアクセス
Intune は、モバイル デバイス上のマルウェア、トロイの木馬、およびその他の脅威を検出するためのセキュリティ ソリューションを提供する Mobile Threat Defense ベンダーと提携しました。
Intune と Mobile Threat Defense の統合のしくみ
モバイル デバイスに Mobile Threat Defense エージェントがインストールされている場合、モバイル デバイスで脅威が検出されると、コンプライアンス対応状態のメッセージがエージェントから Intune に返されます。
Intune と Mobile Threat Defense の統合は、デバイスのリスクに基づいた条件付きアクセスの決定において重要な役割を果たします。
- Intune Mobile Threat Defense について詳しくは、こちらをご覧ください。
Windows PC の条件付きアクセス
PC の条件付きアクセスでは、モバイル デバイスで利用できる機能と同様の機能が提供されます。 Intune で PC を管理する場合に条件付きアクセスを使用する方法について説明します。
企業所有
Microsoft Entraハイブリッド参加済み: このオプションは、AD グループ ポリシーまたはConfiguration Managerを使用して PC を既に管理している方法にかなり慣れている組織で一般的に使用されます。
Microsoft Entraドメイン参加済みおよび Intune 管理: このシナリオは、クラウドファースト (つまり、主にクラウド サービスを使用し、オンプレミス インフラストラクチャの使用を減らすことを目標とする) またはクラウド専用 (オンプレミス インフラストラクチャなし) を希望する組織向けです。 Microsoft Entra参加はハイブリッド環境で適切に機能し、クラウドとオンプレミスの両方のアプリとリソースにアクセスできます。 デバイスは、Microsoft Entra ID に参加し、Intune に登録されます。これは、企業リソースにアクセスするときに条件付きアクセス条件として使用できます。
Bring Your Own Device (BYOD)
- Workplace Join と Intune 管理: この場合、ユーザーは個人のデバイスを参加させて、会社のリソースやサービスにアクセスできます。 Workplace Join を使用してデバイスを Intune MDM に登録し、デバイスレベルのポリシーを受け取ることができます。これは、条件付きアクセスの基準を評価する別のオプションです。
Microsoft Entra ID のデバイス管理の詳細については、こちらをご覧ください。
アプリ ベースの条件付きアクセス
Intune と Microsoft Entra ID が連携すると、マネージド アプリのみが会社のメールやその他の Microsoft 365 サービスにアクセスできるようになります。 Intune を使用したアプリ ベースの条件付きアクセスについて詳しくは、こちらをご覧ください。