条件付きアクセス:条件
条件付きアクセス ポリシー内では、管理者は 1 つ以上のシグナルを使用してポリシーの決定を強化できます。
複数の条件を組み合わせて、きめ細かで具体的な条件付きアクセス ポリシーを作成することができます。
ユーザーが機密性の高いアプリケーションにアクセスするときに、管理者は次に示すような複数の条件をアクセスの判断に取り込む場合があります:
- ID 保護からのサインイン リスク情報
- ネットワークの場所
- デバイス情報
ユーザー リスク
ID 保護にアクセスできる管理者は、条件付きアクセス ポリシーの一部としてユーザー リスクを評価できます。 ユーザー リスクは、特定の ID またはアカウントが侵害されているおそれがあることを表します。 ユーザーのリスクの詳細については、「リスクとは」と「方法: リスク ポリシーを構成して有効にする」を参照してください。
[サインイン リスク]
ID 保護にアクセスできる管理者は、条件付きアクセス ポリシーの一部としてサインイン リスクを評価できます。 サインイン リスクとは、特定の認証要求がその ID の所有者によってなされたものではない可能性を表します。 サインイン リスクの詳細については、「リスクとは」と「方法: リスク ポリシーを構成して有効にする」を参照してください。
インサイダー リスク
Microsoft Purview 適応型保護にアクセスできる管理者は、Microsoft Purview からのリスク シグナルを条件付きアクセス ポリシーの決定に組み込むことができます。 インサイダー リスクでは、Microsoft Purview のデータ ガバナンス、データ セキュリティ、リスクとコンプライアンスの構成が考慮されます。 これらのシグナルは、次のようなコンテキスト要因に基づいています。
- ユーザーの動作
- 過去のパターン
- 異常検出
この条件により、管理者は条件付きアクセス ポリシーを使って、アクセスのブロック、より強力な認証方法の要求、利用規約への同意の要求などのアクションを実行できます。
この機能には、組織内から発生する潜在的なリスクに特に対処するパラメーターの組み込みが含まれます。 管理者は、インサイダー リスクを考慮するように条件付きアクセスを構成し、ユーザーの行動、履歴パターン、異常検出などのコンテキスト要因に基づいてアクセス許可を調整できます。
詳しくは、インサイダー リスク ベースのポリシーの構成と有効化に関する記事をご覧ください。
デバイス プラットフォーム
条件付きアクセスは、ユーザー エージェント文字列などのデバイスによって提供される情報を使用してデバイス プラットフォームを識別します。 ユーザー エージェント文字列は変更できるため、この情報は未検証です。 デバイス プラットフォームは、Microsoft Intune デバイス コンプライアンス ポリシーと連携して使用するか、ブロック ステートメントの一部として使用する必要があります。 既定では、すべてのデバイス プラットフォームに適用されます。
条件付きアクセスでは、次のデバイス プラットフォームがサポートされています。
- Android
- iOS
- Windows
- macOS
- Linux
他のクライアント条件を使用してレガシ認証をブロックする場合は、デバイスのプラットフォーム条件も設定できます。
唯一の許可コントロールとして [承認されたクライアント アプリが必要] または [アプリ保護ポリシーが必要] を選択した場合、または [Require all the selected controls](選択したコントロールすべてが必要) を選択した場合、macOS または Linux デバイス プラットフォームの選択はサポートされていません。
重要
Microsoft はサポートされていないデバイス プラットフォームに対して条件付きアクセス ポリシーを設定することをお勧めします。 たとえば、Chrome OS やその他のサポートされていないクライアントから会社のリソースへのアクセスをブロックする 場合は、すべてのデバイスが含まれ、サポートされているデバイス プラットフォームが除外されるデバイス プラットフォームの条件を使用し、アクセスをブロックする制御セットが付与されるポリシーを構成する必要があります。
場所
クライアント アプリ
既定では、新しく作成されたすべての条件付きアクセス ポリシーは、クライアント アプリの条件が構成されていない場合でも、すべてのクライアント アプリの種類に適用されます。
Note
クライアント アプリの条件の動作は、2020 年 8 月に更新されました。 既存の条件付きアクセス ポリシーがある場合、それらは変更されません。 ただし、既存のポリシーをクリックした場合は、[構成] トグルは削除され、ポリシーが適用されるクライアント アプリが選択されます。
重要
レガシ認証クライアントからのサインインは多要素認証 (MFA) をサポートしておらず、デバイスの状態の情報を渡さないため、MFA や準拠デバイスの要求などの条件付きアクセス許可制御によってブロックされます。 レガシ認証を使用する必要があるアカウントがある場合は、それらのアカウントをポリシーから除外するか、先進認証クライアントにのみ適用するようにポリシーを構成する必要があります。
[構成] は切り替え可能で、[はい] に設定されている場合は、選択されている項目に適用され、[いいえ] に設定されている場合は、レガシ認証クライアントと先進認証クライアントを含むすべてのクライアント アプリに適用されます。 この切り替えは、2020 年 8 月より前に作成されたポリシーには表示されません。
- 先進認証クライアント
- Browser
- これには、SAML、WS-Federation、OpenID Connect、OAuth 機密クライアントとして登録されているサービスなどのプロトコルを使用する Web ベースのアプリケーションが含まれます。
- モバイル アプリとデスクトップ クライアント
- このオプションには、Office デスクトップや Phone アプリケーションなどのアプリケーションが含まれます。
- Browser
- レガシ認証クライアント
- Exchange ActiveSync クライアント
- この選択には Exchange ActiveSync (EAS) プロトコルのすべての使用が含まれます。
- ポリシーによって Exchange ActiveSync の使用がブロックされると、影響を受けるユーザーは 1 通の検査メールを受信します。 この電子メールには、ブロックされた理由に関する情報が記載され、可能な場合は修復の手順が含められます。
- 管理者は、条件付きアクセス Microsoft Graph API を使用して、サポートされているプラットフォーム (iOS、Android、Windows など) にのみポリシーを適用できます。
- その他のクライアント
- このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。
- SMTP - 電子メール メッセージを送信するために POP および IMAP のクライアントで使用されます。
- 自動検出 - Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。
- Exchange Online PowerShell - リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証をConnect PowerShell Exchange Onlineする方法」を参照してください。
- Exchange Web サービス (EWS) - Outlook、Outlook for Mac、およびサードパーティ製アプリが使用するプログラミング インターフェイスです。
- IMAP4 - IMAP 電子メール クライアントで使用されます。
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 以降で使用されます。
- オフライン アドレス帳 (OAB) - Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。
- Outlook Anywhere (RPC over HTTP) - Outlook 2016 以前で使用されます。
- Outlook サービス - Windows 10 用のメール/カレンダー アプリで使用されます。
- POP3 - POP 電子メール クライアントで使用されます。
- レポート Web サービス - Exchange Online でレポート データを取得するために使用されます。
- このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。
- Exchange ActiveSync クライアント
これらの条件は、次の場合に一般的に使用されます。
- マネージド デバイスを要求する
- レガシ認証をブロックする
- Web アプリケーションをブロックし、モバイル アプリまたはデスクトップ アプリを許可する
サポートされているブラウザー
この設定は、すべてのブラウザーで動作します。 ただし、デバイス ポリシーを満たすため、準拠デバイスの要件と同様に、次のオペレーティング システムとブラウザーがサポートされています。 メインストリーム サポート外のオペレーティング システムとブラウザーは、次の一覧には表示されません:
| オペレーティング システム | ブラウザー |
|---|---|
| Windows 10 以上 | Microsoft Edge、Chrome、Firefox 91 以上 |
| Windows Server 2022 | Microsoft Edge、Chrome |
| Windows Server 2019 | Microsoft Edge、Chrome |
| iOS | Microsoft Edge、Safari (注釈を参照) |
| Android | Microsoft Edge、Chrome |
| macOS | Microsoft Edge、Chrome、Safari |
| Linux Desktop | Microsoft Edge |
これらのブラウザーはデバイス認証をサポートしており、デバイスを識別してポリシーで検証することができます。 ブラウザーがプライベート モードで実行されている場合、または Cookie が無効になっている場合、デバイスのチェックは失敗します。
注意
Edge 85+ の場合、デバイス ID を適切に渡すには、ユーザーがブラウザーにサインインする必要があります。 それ以外の場合は、Microsoft シングル サインオン拡張機能のない Chrome のように動作します。 ハイブリッド デバイス参加シナリオでは、このサインインが自動的に行われないことがあります。
Safari はマネージド デバイスにおいてデバイスベースの条件付きアクセスがサポートされていますが、[承認済みクライアント アプリを必須にする] または [アプリの保護ポリシーを必須にする] の条件を満たすことができません。 Microsoft Edge のような管理対象ブラウザーは、承認済みクライアント アプリとアプリ保護ポリシーの要件を満たしています。 サード パーティ製 MDM ソリューションを使用する iOS では、Microsoft Edge ブラウザーのみがデバイス ポリシーをサポートします。
Firefox 91+ は、デバイスベースの条件付きアクセスでサポートされていますが、[Microsoft、職場、学校のアカウントに対して Windows シングル サインオンを許可する] を有効にする必要があります。
Chrome 111 以降はデバイスベースの条件付きアクセスでサポートされていますが、"CloudApAuthEnabled" を有効にする必要があります。
Enterprise SSO プラグインを使用する macOS デバイスでは、Google Chrome で SSO とデバイスベースの条件付きアクセスをサポートするために、Microsoft Enterprise SSO 拡張機能が必要です。
ブラウザーに証明書のプロンプトが表示される理由
Windows 7 では、iOS、Android、macOS デバイスはクライアント証明書を使用して識別されます。 この証明書は、デバイスが登録されるときにプロビジョニングされます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 ユーザーは、ブラウザーを使用する前に、この証明書を選択する必要があります。
Chrome のサポート
Windows
Windows 10 Creators Update (バージョン 1703) 以降で Chrome をサポートするには、Microsoft Single Sign On 拡張機能をインストールするか、Chrome の CloudAPAuthEnabled を有効にします。 このような構成が必要なのは、条件付きアクセス ポリシーでデバイス固有の詳細が必要な場合 (特に Windows プラットフォームの場合) です。
Chrome で CloudAPAuthEnabled ポリシーを自動的に有効にするには、次のレジストリ キーを作成します。
- パス:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - 名前:
CloudAPAuthEnabled - 値:
0x00000001 - PropertyType:
DWORD
Chrome ブラウザーに Microsoft Single Sign On 拡張機能を自動的に展開するには、Chrome の ExtensionInstallForcelist ポリシーを使用して、次のレジストリ キーを作成します。
- パス:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - 名前:
1 - 型:
REG_SZ (String) - データ:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Windows 8.1 および 7 で Chrome をサポートするには、次のレジストリ キーを作成してください。
- パス:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - 名前:
1 - 型:
REG_SZ (String) - データ:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Enterprise SSO プラグインを使用する macOS デバイスでは、Google Chrome で SSO とデバイスベースの条件付きアクセスをサポートするために、Microsoft Enterprise SSO 拡張機能が必要です。
Google Chrome と拡張機能管理の MDM ベースのデプロイについては、Mac で Chrome ブラウザーをセットアップする方法に関する記事と ExtensionInstallForcelist を参照してください。
サポートされているモバイル アプリケーションとデスクトップ クライアント
管理者は、クライアント アプリとしてモバイル アプリとデスクトップ クライアントを選択できます。
この設定は、以下のモバイル アプリおよびデスクトップ クライアントから行われるアクセスの試行に影響を与えます。
| クライアント アプリ | 対象サービス | プラットフォーム |
|---|---|---|
| Dynamics CRM アプリ | Dynamics CRM | Windows 10、Windows 8.1、iOS、Android |
| メール/カレンダー/People アプリ、Outlook 2016、Outlook 2013 (先進認証を使用) | Exchange Online | Windows 10 |
| アプリ用の MFA と場所のポリシー。 デバイス ベースのポリシーはサポートされていません。 | 任意のマイ アプリ アプリ サービス | Android および iOS |
| Microsoft Teams Services - このクライアント アプリは Microsoft Teams とそのすべてのクライアント アプリ (Windows デスクトップ、iOS、Android、WP、および Web クライアント) をサポートするすべてのサービスを制御する | Microsoft Teams | Windows 10、Windows 8.1、Windows 7、iOS、Android、および macOS |
| Office 2016 アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアント | SharePoint | Windows 8.1、Windows 7 |
| Office 2016 アプリ、ユニバーサル Office アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアント | SharePoint Online | Windows 10 |
| Office 2016 (Word、Excel、PowerPoint、OneNote のみ)。 | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10、macOS |
| Office モバイル アプリ | SharePoint | Android、iOS |
| Office Yammer アプリ | Yammer | Windows 10、iOS、Android |
| Outlook 2019 | SharePoint | Windows 10、macOS |
| Outlook 2016 (Office for macOS) | Exchange Online | macOS |
| Outlook 2016、Outlook 2013 (先進認証を使用)、Skype for Business (先進認証を使用) | Exchange Online | Windows 8.1、Windows 7 |
| Outlook Mobile アプリ | Exchange Online | Android、iOS |
| Power BI アプリ | Power BI サービス | Windows 10、Windows 8.1、Windows 7、Android、iOS |
| Skype for Business | Exchange Online | Android、iOS |
| Azure DevOps Services (旧称 Visual Studio Team Services、または VSTS) アプリ | Azure DevOps Services (旧称 Visual Studio Team Services、または VSTS) | Windows 10、Windows 8.1、Windows 7、iOS、Android |
Exchange ActiveSync クライアント
- 管理者はユーザーまたはグループにポリシーを割り当てるときに Exchange ActiveSync クライアントしか選択できません。 すべてのユーザー、すべてのゲストと外部ユーザー、またはディレクトリ ロールを選択すると、すべてのユーザーがポリシーの対象となります。
- 管理者が Exchange ActiveSync クライアントに割り当てられるポリシーを作成する場合は、Exchange Online が、そのポリシーに割り当てられる唯一のクラウド アプリケーションである必要があります。
- 管理者は、デバイス プラットフォーム条件を使用して、このポリシーの範囲を特定のプラットフォームに限定することができます。
ポリシーに割り当てられたアクセス制御で、[承認済みクライアント アプリを必須にする] が使用されている場合、ユーザーは Outlook モバイル クライアントをインストールして使用するように指示されます。 多要素認証、使用条件、またはカスタム コントロールが必要な場合、基本認証ではこれらのコントロールがサポートされないため、影響を受けるユーザーはブロックされます。
詳細については、次の記事を参照してください。
- 条件付きアクセスを使用してレガシ認証をブロックすることに関する記事
- 条件付きアクセスを使用して承認済みクライアント アプリを必須にすることに関する記事
その他のクライアント
[その他のクライアント] を選択することで、基本認証とメール プロトコル (IMAP、MAPI、POP、SMTP など) を使用するアプリや、先進認証を使用しない以前の Office アプリに影響を及ぼすポリシーを指定できます。
デバイスの状態 (非推奨)
この条件は非推奨になりました。 以前はデバイスの状態条件を使って実現していたシナリオに対応するために、顧客は条件付きアクセス ポリシーのデバイスのフィルター条件を使用する必要があります。
重要
デバイス状態とデバイスのフィルターは、条件付きアクセス ポリシーで一緒に使用することはできません。 デバイスのフィルターを使用する方が、trustType および isCompliant プロパティを介して、対象とするデバイス状態情報のサポートも含め、より詳細に対象設定できます。
デバイスのフィルター
管理者がデバイスのフィルターを条件として構成すると、デバイスのプロパティについてのルール式を使用するフィルターに基づいてデバイスを含めるか除外するかを選択できます。 デバイスのフィルターのルール式は、ルール ビルダーまたはルール構文を使用して作成できます。 このエクスペリエンスは、グループの動的メンバーシップ グループのルールに使用されているものと同様です。 詳細については、「条件付きアクセス: デバイスのフィルター」を参照してください。
認証フロー (プレビュー)
認証フローは、組織が特定の認証と承認のプロトコルと許可を使用する方法を制御します。 これらのフローは、共有デバイスやデジタル サイネージなどのローカル入力デバイスがない可能性があるデバイスにシームレスなエクスペリエンスを提供することができます。 このコントロールを使用して、デバイス コード フローや認証転送などの転送方法を構成します。