以下の手順は、組織内でのデバイス コード フローと認証転送の使用方法を制限する条件付きアクセス ポリシーを作成するのに役立ちます。
デバイス コード フロー ポリシー
注
セキュリティ態勢を強化するために、Microsoft は可能な限りデバイス コード フローをブロックまたは制限することをお勧めします。
まず、 レポート専用モード でポリシーを構成して、組織に対する潜在的な影響を判断する必要があります。
デバイス コード フローの一方的なブロックに組織をできる限り近づけることをお勧めします。 組織では、デバイス コード フローの既存の使用を監査し、まだ必要かどうかを判断するポリシーの作成を検討するようにします。
デバイス コード フローの使用が確立されていない組織の場合は、次の条件付きアクセス ポリシーを使ってブロックすることができます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- [ 新しいポリシー] を選択します。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、ポリシーのスコープ内にするユーザーを選択します (すべてのユーザー が推奨)。
- [ 除外] の下:
- ユーザーとグループ を選択し、組織の緊急アクセスまたはブレークグラスアカウント、およびその他の必要なユーザーを選択してください。この除外リストは定期的に監査されるべきです。
- [ターゲット リソース>リソース(以前のクラウド アプリ)>含める、ポリシーの対象にしたいアプリを選択します(すべてのリソース(以前は「すべてのクラウド アプリ」)が推奨されます)。
- [ 条件>認証フロー] で、[ 構成] を [はい] に設定します。
- [デバイス コード フロー] を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- 選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
認証転送ポリシー
条件付きアクセスの 認証フロー 条件を使用して、機能を管理します。 ユーザーが PC からモバイル デバイスに 認証 を転送したくない場合は、認証転送をブロックできます。 たとえば、特定のグループによる個人用デバイスでの Outlook の使用を許可しない場合です。 認証転送のブロックは、次の条件付きアクセス ポリシーを使って実行できます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- 保護>条件付きアクセス を参照します。
- [ 新しいポリシーの作成] を選択します。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、認証転送をブロック するすべてのユーザー またはユーザー グループを選択します。
- [ 除外] の下:
- ユーザーとグループ を選択し、組織の緊急アクセスまたはブレークグラスアカウント、およびその他の必要なユーザーを選択してください。この除外リストは定期的に監査されるべきです。
- [ターゲット リソース>リソース (旧称クラウド アプリ)) >[含む] で、認証の転送をブロックするすべてのリソース (以前の [すべてのクラウド アプリ]) またはアプリを選択します。
- [条件>認証フロー] で、[構成] を [はい] に設定します
- [ 認証転送] を選択します。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- 選択します。
- 設定を確認し、[ポリシーの有効化] を [有効] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。