Microsoft Entra ID は、さまざまな認証と承認フローをサポートし、すべてのアプリケーションとデバイスの種類でシームレスなエクスペリエンスを提供します。 一部の認証フローは、他のフローよりもリスクが高くなります。 セキュリティ体制をより詳細に制御できるように、条件付きアクセスを使用すると、特定の認証フローを制御できます。 この制御は、明示的に ターゲットデバイスコードフローから始まります。
デバイス コード フロー
デバイス コード フローを使用すると、共有デバイスやデジタル サイネージなど、ローカル入力デバイスがないデバイスにサインインできます。 デバイス コード フローは、フィッシング攻撃の一部となる可能性がある、またはアンマネージド デバイス上の企業リソースへのアクセスに使用される可能性がある、危険度の高い認証方法です。 条件付きアクセス ポリシーの他のコントロールと共に、デバイス コード フロー制御を構成します。 たとえば、デバイス コード フローが Android ベースの会議室デバイスに使用されている場合は、特定のネットワーク上の場所にある Android デバイスを除くすべての場所でデバイス コード フローをブロックします。
必要な場合にのみデバイス コード フローを許可します。 Microsoft は、可能な限りデバイス コード フローをブロックすることを推奨しています。
認証転送
認証転送は、ユーザーが認証された状態をあるデバイスから別のデバイスにシームレスに転送できるようにするフローです。 たとえば、デスクトップ 版の Outlook に QR コードが表示され、モバイル デバイスでスキャンされると、認証された状態がモバイル デバイスに転送されます。 この機能は、ユーザーの摩擦を軽減するシンプルで直感的なエクスペリエンスを提供します。
プロトコル追跡
条件付きアクセス ポリシーが指定された認証フローで正確に適用されていることを確認するには、プロトコル追跡と呼ばれる機能を使用します。 この追跡は、デバイス コード フローまたは認証転送を使用するセッションに適用されます。 このようなケースでは、セッションはプロトコル追跡されていると見なされます。 プロトコル追跡されているセッションは、ポリシーが存在する場合、ポリシーの適用の対象となります。 プロトコル追跡状態は、後に更新を行っても維持されます。 非デバイス コード フローまたは認証転送フローは、セッションがプロトコル追跡されている場合、認証フロー ポリシーの適用の対象となる可能性があります。
次に例を示します。
- SharePoint を除くすべての場所でデバイス コード フローをブロックするようにポリシーを構成します。
- デバイス コード フローを使用して、構成されたポリシーで許可されているとおりに SharePoint にサインインします。 この時点で、セッションはプロトコル追跡されていると見なされます
- デバイス コード フローだけでなく、何らかの認証フローを使用して、同じセッションのコンテキスト内で Exchange にサインインしようとします。
- セッションのプロトコル追跡状態が原因で、構成されたポリシーによってブロックされます
サインイン ログ
デバイス コード フローを制限またはブロックするようにポリシーを構成する場合は、組織でデバイス コード フローが使用されているかどうか、およびどのように使用されているかを把握することが重要です。 レポート専用モードで条件付きアクセス ポリシーを作成したり、認証プロトコル フィルターを使用してデバイス コード フロー イベントがないかサインイン ログをフィルター処理することが役に立ちます。
プロトコル追跡関連のエラーのトラブルシューティングを支援するために、Microsoft は、条件付きアクセス サインイン ログのアクティビティの詳細セクションに、元の転送方法と呼ばれる新しいプロパティを追加しました。 このプロパティは、問題の要求のプロトコル追跡状態を表します。 たとえば、デバイス コード フローが以前に実行されたセッションの場合、元の転送方法はデバイス コード フローに設定されます。
Device Registration Service リソースに対する認証フロー ポリシーの適用
2024 年 9 月上旬から、Microsoft はデバイス登録サービスに対する認証フロー ポリシーの適用を開始しました。 これは、リソース ピッカー 内のすべてのリソース を対象とするポリシーにのみ適用されます。 現在、組織がデバイス登録のためにデバイス コード フローを使用しており、 すべてのリソースを対象とする認証フロー ポリシーがある場合は、影響を回避するために、条件付きアクセス ポリシーのスコープからデバイス登録リソースを除外する必要があります。 Device Registration Service リソースは、条件付きアクセス ポリシー構成エクスペリエンスの中の [ターゲット リソース] オプションにあります。 条件付きアクセス UX を介してデバイス登録サービスを除外するには、 ターゲット リソース>Exclude>Select excluded cloud apps>Device Registration Service に移動する必要があります。 API の場合は、デバイス登録サービスのクライアント ID (01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9) を除外してポリシーを更新する必要があります。
組織がデバイス登録サービスに対してデバイス コード フローを使用しているかどうかがわからない場合は、Microsoft Entra サインイン ログ を使用して確認できます。 そこでは、[リソース ID] フィルター内で Device Registration Service のクライアント ID をフィルター処理し、[認証プロトコル] フィルター内の [デバイス コード] オプションを使用して、デバイス コード フローの使用に絞り込むことができます。
予期しないブロックのトラブルシューティング
条件付きアクセス ポリシーによってサインインが予期せずブロックされた場合は、そのポリシーが認証フロー ポリシーであるかどうかを確認する必要があります。 この確認を行うには、[サインイン ログ] に移動し、ブロックされたサインインをクリックして、[アクティビティの詳細: サインイン] ペインの [条件付きアクセス] タブに移動します。 適用されたポリシーが認証フロー ポリシーである場合は、ポリシーを選択して、どの認証フローが一致したのかを特定します。
デバイス コード フローが一致したが、デバイス コード フローがそのサインインに対して実行されたフローではない場合、更新トークンはプロトコル追跡されました。 このケースを確認するには、ブロックされたサインインをクリックし、[アクティビティの詳細: サインイン] ペインの [基本情報] 部分で [元の転送方法] プロパティを検索します。
メモ
プロトコル追跡セッションによるブロックは、このポリシーで予期される動作です。 推奨される修復はありません。