デスクトップ用 Office Outlook における条件付きアクセスの有効化について

こんにちは。Microsoft Intune / MDM for Office 365 サポート チームの村田です。

Intune のお問い合わせをいただくこともかなり多い、条件付きアクセスという機能に関してですが、今回は、Office 2013、2016 のOutlook クライアントで本機能を有効化する方法について、解説します。

昨年の Microsoft Intune のアップデートに伴い、従来の iOS、Android に加え、下図のように、Windows デスクトップ (※ 1) に対する条件付きアクセス機能がサポートされております。

Conditional_Access001

本機能は、Windows デスクトップ (※ 1) からのExchange ActiveSync接続、および Office アプリケーションからの Office 365 リソースへのアクセスに対して、デバイスのオンプレミスのドメインへの参加、Intune  へのモバイル デバイス登録を必須とする機能となります。本機能により、Office 365 リソースへアクセスするために端末はコンプライアンス ポリシーに準拠する事を求められ、アクセスする端末においては、一定のセキュリティ レベルを満たしている必要があるという運用が可能となります。

なお、Intune における、条件付きアクセスの詳細については以下のページにて解説しております。

<Microsoft Intune を使用して電子メールと SharePoint へのアクセスを管理する>

https://technet.microsoft.com/ja-jp/library/dn818907.aspx

※ 1 Windows に対する条件付きアクセスにおいてサポートされる、Windows OS のバージョンについては以下となります。

Windows 8.1 以降 (※ Widnows 7 はドメイン参加してる場合のみ)

最近になり、Windows OS に対する、条件付きアクセスを有効化しているにも関わらず、Outlook 2013、2016 において、アカウント登録をした際に下図のような認証画面が表示されるだけで、Intune への登録を求められないというお問い合わせをいただきます。

図 1) Outlook における認証画面

image

本事象は、Exchange Online においてはデフォルトで先進認証 (ADAL 認証) が有効になっていないことに起因します。なお、先進認証 (ADAL 認証) とは、Office 2013、2016 をご利用の方であれば、見覚えのある下図のようなブラウザ ベースでの認証のことを指します。今回は Intune における条件付きアクセスの有効化を目的としておりますため、本認証方式についての詳細は割愛させていただきます。

図 2) 先進認証が有効になっている場合の Office Excel 2016 における認証画面

image

図 3) 条件付きアクセスに基づき認証後に登録を促される画面

image

なお、先進認証 (ADAL 認証) については Office 2016 ではデフォルトで有効化されていますが、 Office 2013 においては以下の作業を クライアントにおいて行う必要があります。

<Windows デバイスの Office 2013 の先進認証を有効にする>

https://support.office.com/ja-jp/article/Windows-%e3%83%87%e3%83%90%e3%82%a4%e3%82%b9%e3%81%ae-Office-2013-%e3%81%ae%e5%85%88%e9%80%b2%e8%aa%8d%e8%a8%bc%e3%82%92%e6%9c%89%e5%8a%b9%e3%81%ab%e3%81%99%e3%82%8b-7dc1c01a-090f-4971-9677-f1b192d6c910

しかし、Office 2016 、2013 ともに Outlook においては上記設定を行っても、依然 図 1 ) の画面は変わらず、条件付きアクセスに基づく動作となりません。前述のとおり、先進認証を Outlook において動作させるためには、サーバーサイドにおける以下の作業が必要です。

Office 365 テナントにおける、Exchange Online での先進認証の有効化方法

1) 以下のサイトの手順を参考に PowerShell より、Exchange Online に接続します。

<リモート PowerShell による Exchange への接続>

https://technet.microsoft.com/library/jj984289(v=exchg.160).aspx

2) 以下のコマンドを実行して先進認証を有効にします。

Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

3) 以下のコマンドを実行して、実行結果を確認します。

Get-OrganizationConfig | ft name, *OAuth*

正常に有効になっている場合には以下の結果が返されます

Name                     OAuth2ClientProfileEnabled
----                     --------------------------
takema01.onmicrosoft.com                       True

以上で作業は完了です。

再度、Outlook を起動して、サインインを試してみてください。

下図のように先進認証が有効化され、併せて条件付きアクセスの対象となっている場合は、Intune への登録を促されます。

clip_image002

Intune における条件付きアクセスは お問い合わせを非常に多くいただく機能となります。

本機能に関するよくあるご質問などについては改めて掲載予定です。

 

参考情報

<モダン認証機能 (ADAL 認証)とは>

https://community.office365.com/ja-jp/b/office_365_buzz/archive/2015/11/27/updated-office-365-modern-authentication-public-preview

<Microsoft Intune での電子メールへのアクセスの管理>

https://technet.microsoft.com/ja-jp/library/dn705841.aspx

<Microsoft Intune のデバイス コンプライアンス ポリシーの管理>

https://technet.microsoft.com/ja-jp/library/dn705843.aspx