Microsoft Intune と Microsoft Entra は連携して、 デバイス コンプライアンス ポリシー と条件付きアクセスを通じて組織をセキュリティで保護します。 デバイス コンプライアンス ポリシーは、ユーザー デバイスが最小構成要件を確実に満たすようにするための優れた方法です。 この要件は、条件付きアクセス ポリシーで保護されたサービスにユーザーがアクセスする際に適用できます。
一部の組織では、すべてのユーザーにデバイスコンプライアンスを要求する準備ができていない場合があります。 これらの組織は、代わりに次のポリシーを展開することを選択できます。
- 管理者に準拠したデバイスまたはMicrosoft Entraハイブリッド参加済みデバイスを要求する
- 準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイス、 または 多要素認証をすべてのユーザーに要求する
- 不明またはサポートされていないデバイス プラットフォームをブロックする
- ブラウザーの永続化を無効にする
ユーザーの除外
条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
- 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
-
サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- これらのアカウントがスクリプトまたはコードで使用されている場合は、 マネージド ID に置き換えることを検討してください。
テンプレートのデプロイ
組織は、次に示す手順を使用するか、 条件付きアクセス テンプレートを使用して、このポリシーを展開することを選択できます。
条件付きアクセス ポリシーを作成する
次の手順は、リソースにアクセスするデバイスが組織の Intune コンプライアンス ポリシーに準拠としてマークされるように要求する条件付きアクセス ポリシーを作成するのに役立ちます。
警告
Microsoft Intune で作成されたコンプライアンス ポリシーがないと、この条件付きアクセス ポリシーは意図したとおりに機能しません。 先にコンプライアンス ポリシーを作成し、少なくとも 1 つの準拠デバイスがあることを続行する前に確認します。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [含める] で、[すべてのユーザー] を選択します
-
除外の下:
-
ユーザーとグループの選択
- 組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
- Microsoft Entra Connect や Microsoft Entra Connect Cloud Sync などのハイブリッド ID ソリューションを使用する場合は、[ディレクトリ ロール] を選択し、[ディレクトリ同期アカウント] を選択します
-
ユーザーとグループの選択
- ターゲット リソース>リソース(旧称クラウド アプリ)>については、すべてのリソース(旧称「すべてのクラウド アプリ」) を選択します。
-
アクセス制御>許可。
- [ デバイスを準拠としてマークする必要があります] を選択します。
- 選択を選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
注
新しいデバイスを Intune に登録できます。これは、前の手順を使用して、すべてのユーザーとすべてのリソース (以前の「すべてのクラウド アプリ」)に対してデバイスを準拠としてマークする必要があるを選択した場合でも可能です。 デバイスを準拠コントロールとしてマークする必要がある場合、Intune の登録はブロックされません。
既知の動作
iOS、Android、macOS、および一部の Microsoft 以外の Web ブラウザーでは、Microsoft Entra ID は、デバイスが Microsoft Entra ID に登録されるときにプロビジョニングされるクライアント証明書を使用してデバイスを識別します。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 エンド ユーザーは、ブラウザーを引き続き使用する前に、この証明書を選択する必要があります。
サブスクリプションのライセンス認証
サブスクリプション ライセンス認証機能を使用して、ユーザーが Windows の 1 つのバージョンから別のバージョンに "ステップアップ" できるようにする組織では、ビジネス向け Windows ストア AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f をデバイス コンプライアンス ポリシーから除外できます。