条件付きアクセスで承認済みクライアント アプリをアプリケーション保護ポリシーに移行する

概要

この記事では、"承認済みクライアント アプリを要求する" 条件付きアクセス許可制御から "アプリ保護ポリシーを要求する" 許可コントロールに移行する方法について説明します。 アプリ保護 ポリシーは、承認されたクライアント アプリ ポリシーと同じデータ損失と保護を提供しますが、その他の利点があります。 app protection ポリシーを使用する利点の詳細については、アプリ保護 ポリシーの概要に関する記事を参照してください。

承認済みクライアント アプリが必要付与の廃止日は、2026 年 3 月から 2026 年 6 月 30 日に延期されます。 組織は、承認されたクライアント アプリの付与のみを使用する現在の条件付きアクセス ポリシーをすべて、2026 年 6 月までに [承認済みクライアント アプリを要求する] または [アプリ保護を要求する] ポリシーに移行する必要があります。 さらに、新しい条件付きアクセス ポリシーについては、アプリ保護ポリシーを必須にする 付与のみを適用します。

Important

2026 年 6 月 30 日に、Microsoft Entra の条件付きアクセス 承認済みクライアント アプリを必須にする コントロールと、承認済みクライアント アプリの付与コントロールを含むすべての条件付きアクセス ポリシーは、読み取り専用の状態になります。 管理者は、新しいポリシーを作成したり、このコントロールを使用する既存のポリシーを編集したりできなくなります。 管理者は引き続き既存のポリシーを無効または削除できます。 既存のポリシーは、エンド ユーザーが有効なままである限り、引き続き適用されます。

既存の条件付きアクセス ポリシーを編集する

モバイル デバイスで承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する

iOS/iPadOS または Android デバイスの使用時は、次の手順を実行して、既存の条件付きアクセス ポリシーが承認済みのクライアント アプリまたはアプリ保護ポリシーを要求するようにします。 このポリシーは、Microsoft Intuneで作成されたアプリ保護ポリシーと連携して機能します。

組織は、次の手順を使用して自身のポリシーを更新することを選択できます。

  1. Microsoft Entra管理センターに少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>Policies に移動します。
  3. 承認済みクライアント アプリ許可を使用するポリシーを選択します。
  4. [ アクセス制御>許可] で、[アクセス権の 付与] を選択します。
    1. [ 承認済みクライアント アプリを必須にする ] と [アプリ保護ポリシーを要求する] を選択します。
    2. [ 複数のコントロールの場合] で、[ 選択したコントロールのいずれかを必須にする] を選択します
  5. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  6. [作成] を選択して、ポリシーを有効化します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

承認済みクライアント アプリ許可を使用するすべてのポリシーで、前の手順を繰り返します。

警告

承認されたアプリケーションとしてサポートされているすべてのアプリケーションが、アプリケーション保護ポリシーをサポートしているわけではありません。 一般的なクライアント アプリの一覧については、「アプリ保護 ポリシー要件を参照してください。 アプリケーションが一覧にない場合は、アプリケーション開発者に問い合わせてください。

条件付きアクセス ポリシーを作成する

モバイル デバイスでアプリの保護ポリシーを必須にする

iOS/iPadOS または Android デバイスの使用時は、次の手順を実行すると、承認済みのライアント アプリまたはアプリ保護ポリシーを必要とする条件付きアクセス ポリシーを作成できます。 このポリシーは、Microsoft Intune で作成されたアプリケーション保護ポリシーと連携して機能します。

組織は、次の手順を使用してこのポリシーを展開することを選択できます。

  1. Microsoft Entra管理センターに少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>Policies に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前にわかりやすい標準を作成します。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [ 含める] で、[ すべてのユーザー] を選択します。
    2. [ 除外] で、[ ユーザーとグループ ] を選択し、少なくとも 1 つのアカウントを除外して、自分がロックアウトされないようにします。アカウントを除外しない場合は、ポリシーを作成できません。
  6. ターゲット リソース>リソース(以前のクラウド アプリ)>にあるIncludeで、すべてのリソース(以前の「すべてのクラウド アプリ」)を選択します。
  7. [ 条件>Device プラットフォーム] で、[ 構成][はい] に設定します。
    1. [ 含める] で、[ デバイス プラットフォームの選択] を選択します
    2. AndroidiOS を選択します。
    3. 完了を選択します。
  8. [ アクセス制御>許可] で、[アクセス権の 付与] を選択します。
    1. [ 承認済みクライアント アプリを必須にする ] と [アプリ保護ポリシーを要求する] を選択します。
      1. [ 複数のコントロールの場合] で、[ 選択したコントロールのいずれかを必須にする] を選択します
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを有効化します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

注意

アプリで アプリ保護ポリシーがサポートされていない場合、そのアプリからリソースにアクセスしようとしているエンド ユーザーはブロックされます。

次のステップ

アプリケーション保護ポリシーの詳細については、次を参照してください。

アプリ保護ポリシーを作成して割り当てる

  • Last updated on