Intune の Microsoft Tunnel で条件付きアクセスを使用する

Microsoft Intune環境で条件付きアクセスMicrosoft Entra使用している場合は、条件付きアクセス ポリシーを使用して、Microsoft Tunnel VPN ゲートウェイへのデバイス アクセスをゲートできます。

条件付きアクセスと Microsoft Tunnel の統合をサポートするには、 Microsoft Graph PowerShell を使用して、テナントが Microsoft Tunnel をサポートできるようにします。 お使いのテナントで Microsoft Tunnel がサポートされるようにした後、Microsoft Tunnel アプリに適用する条件付きアクセス ポリシーを作成できます。

テナントのプロビジョニング

トンネルの条件付きアクセス ポリシーを構成する前に、テナントが条件付きアクセス用に Microsoft Tunnel をサポートできるようにする必要があります。 Microsoft Graph PowerShell モジュールを使用し、PowerShell スクリプトを実行してテナントを変更し、 Microsoft Tunnel Gateway を クラウド アプリとして追加します。 トンネルがクラウド アプリとして追加されたら、条件付きアクセス ポリシーの一部としてそれを選択できます。

  1. AzureAD PowerShell モジュールダウンロードしてインストールします。

  2. aka.ms/mst-ca-provisioning から mst-ca-provisioning.ps1 という名前の PowerShell スクリプトをダウンロードします。

  3. Intune Administrator と同等の Azure ロールアクセス許可を持つ資格情報を使用して、環境内の任意の場所からスクリプトを実行してテナントをプロビジョニングします。

    このスクリプトでは、次の詳細を含むサービス プリンシパルを作成してテナントを変更します。

    • アプリ ID: 3678c9e9-9681-447a-974d-d19f668fcd88
    • 名前: Microsoft Tunnel Gateway

    条件付きアクセス ポリシーの構成中にトンネル クラウド アプリを選択できるように、このサービス プリンシパルを追加する必要があります。 Graph を使用して、サービス プリンシパル情報をテナントに追加することもできます。

  4. スクリプトが完了したら、通常のプロセスを使用して条件付きアクセス ポリシーを作成できます。

Microsoft Tunnel へのアクセスを制限する

条件付きアクセス ポリシーを使用してユーザー アクセスを制限する場合、Microsoft Tunnel Gateway クラウド アプリをサポートするようにテナントをプロビジョニングした後、Tunnel Gateway をインストールする前に、このポリシーを構成することをお勧めします。

  1. 管理センター>Endpoint Security>Conditional アクセス>新しいポリシー Microsoft Intuneサインインします。 管理センターでは、条件付きアクセス ポリシーを作成するためのMicrosoft Entra インターフェイスが表示されます。

  2. このポリシーの名前を指定します。

  3. ユーザーとグループのアクセスを構成するには、[割り当て]の下にある [ユーザーとグループ] を選択します。

    1. [含める]>[すべてのユーザー] を選択します。
    2. 次に、[ 除外] を選択し、アクセス権を 付与するグループを構成し、ユーザーとグループの構成を保存します。
  4. [クラウド アプリまたは操作]>[アプリを選択] で、[Microsoft Tunnel Gateway app]\(Microsoft Tunnel Gateway アプリ\) を選択します。

  5. [アクセス制御][許可] を選択し、[アクセスのブロック] を選択して、構成を保存します。

  6. [ポリシーの有効化][オン] に設定します。

  7. [作成] を選択します。

条件付きアクセスのポリシー作成に関する詳細については、「デバイス ベースの条件付きアクセス ポリシーを作成する」を参照してください。

Microsoft Tunnel を監視する