Intune を使用してアプリベースの条件付きアクセス ポリシーを使用する

Microsoft Intuneアプリ保護ポリシーは、Microsoft Entra条件付きアクセスと連携して、従業員が使用するデバイス上の組織データを保護するのに役立ちます。 これらのポリシーは、Intune に登録したデバイスに対して、また、従業員が所有する未登録のデバイスに対して機能します。 組み合わせると、アプリベースの条件付きアクセスと呼ばれます。

クライアント アプリ管理を使用したアプリベースの条件付きアクセスでは、Intuneアプリ保護ポリシーをサポートするクライアント アプリのみがExchange Onlineやその他の Microsoft 365 サービスにアクセスできるようにするセキュリティ レイヤーが追加されます。

要件

サポートされているアプリ

アプリベースの条件付きアクセスをサポートするアプリの一覧については、Microsoft Entraドキュメントの「条件付きアクセス: 条件」を参照してください。

アプリベースの条件付きアクセスでは基幹業務 (LOB) アプリもサポートされていますが、これらのアプリでは Microsoft 365 の先進認証が使用されている必要があります。

アプリベースの条件付きアクセスのしくみ

アプリベースの条件付きアクセスは、ブローカー アプリにデバイスをMicrosoft Entra IDに登録するように要求することで機能します。 ブローカー アプリは、iOS では Microsoft Authenticator、Android ではポータル サイトできます。 認証中に、Microsoft Entra IDは、アクセスを許可する前に、アプリがポリシーで承認された一覧に含まれているかどうかを確認します。 次の図は、このプロセスを示しています。

技術的な概要の詳細については、Microsoft Entraドキュメントの「クライアント アプリ」を参照してください。

アプリベースの条件付きアクセス ポリシーを作成する

条件付きアクセスは、Microsoft Entraテクノロジです。 Microsoft Intune管理センターからアクセスする条件付きアクセス ノードは、Microsoft Entra IDからアクセスするノードと同じであるため、ポリシーを構成するためにそれらを切り替える必要はありません。

条件付きアクセス ポリシーを作成する前に、アプリにIntuneアプリ保護ポリシーを適用する必要があります。

1. Microsoft Intune 管理センターにサインインします。

2. [ Endpoint security>Conditional Access>新しいポリシーを作成する] を選択します。

3. ポリシー 名を入力し、[ 割り当て] で、 ユーザーとグループ にポリシーを適用するようにユーザーとグループを構成します。 [含める] または [除外] オプションを使用して、グループを追加します。

4. [ 割り当て] で、[ ターゲット リソース] を構成します。 クラウド アプリにポリシーを適用します。 [含める] または [除外] オプションを使用して、保護するアプリを選択します。 たとえば、[アプリの選択] を選択し、[Office 365] を選択します。

5. [条件]>[クライアント アプリ] の順に選択して、アプリとブラウザーにポリシーを適用します。 たとえば、[はい] を選択し、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] を有効にします。

6. [ アクセス制御] で、[ 許可] を構成します。 たとえば、[アクセス権の付与]>[承認されたクライアント アプリが必要]、[アプリの保護ポリシーが必要] の順に選択した後、[選択したコントロールのいずれかが必要] を選択します。

7. [ポリシーを有効にする] で、[オン] を選択してから [作成] を選びます。

次の手順

• Intuneを使用したデバイス ベースの条件付きアクセス
• 先進認証を使用しないアプリをブロックする
• アプリ保護ポリシーでアプリ内のデータを保護する
• 条件付きアクセスの展開を計画する