Intuneで使用できる条件付きアクセス ポリシーには、デバイスベースとアプリベースの 2 種類があります。 この記事では、両方の種類の一般的なシナリオについて説明します。
この記事の情報は、Intuneモバイル デバイスコンプライアンス機能とIntuneモバイル アプリケーション管理 (MAM) 機能の両方を使用する方法を理解するのに役立ちます。
注:
条件付きアクセスは、Microsoft Entra ID P1 または P2 ライセンスに含まれるMicrosoft Entra機能です。 Microsoft Intune管理センターからアクセスされる条件付きアクセス ノードは、Microsoft Entra IDからアクセスされるノードと同じです。
Microsoft Intune を制御するために条件付きアクセスで使用できるアプリケーション
Microsoft Entra 管理センターで条件付きアクセスを構成する場合は、次の 2 つのアプリケーションから選択できます。
- Microsoft Intune - このアプリケーションは、Microsoft Intune管理センターとデータ ソースへのアクセスを制御します。 Microsoft Intune管理センターとデータ ソースをターゲットにする場合は、このアプリケーションで許可/制御を構成します。
- Microsoft Intune Enrollment - このアプリケーションを使用すると、登録ワークフローを制御できます。 登録プロセスを対象にする場合は、このアプリケーションで許可または制御を構成します。 詳細については、「Intuneデバイス登録に多要素認証を要求する」を参照してください。
デバイスベースの条件付きアクセス
IntuneとMicrosoft Entra ID連携して、organizationのメール、Microsoft 365 サービス、サービスとしてのソフトウェア (SaaS) アプリ、およびオンプレミス アプリにのみアクセスできるように、管理および準拠しているデバイスのみを確認します。 さらに、Microsoft Entra IDでポリシーを設定して、Intuneに登録されているドメインに参加しているコンピューターまたはモバイル デバイスのみが Microsoft 365 サービスにアクセスできるように設定できます。
Intune では、デバイス コンプライアンス ポリシーを展開して、デバイスが予想される構成とセキュリティの要件を満たしているかどうかを判断します。 コンプライアンス ポリシーの評価では、デバイスのコンプライアンス状態が決定されます。これは、IntuneとMicrosoft Entra IDの両方に報告されます。 条件付きアクセス ポリシーでは、デバイスのコンプライアンス状態を使用して、そのデバイスからorganizationのリソースへのアクセスを許可またはブロックするかどうかを決定できるMicrosoft Entra IDです。
Exchange Online およびその他の Microsoft 365 製品のデバイス ベースの条件付きアクセス ポリシーは、Microsoft Intune管理センターを通じて構成されます。
詳細については、「Microsoft Entra ID で条件付きアクセスを使用してマネージド デバイスを要求する」を参照してください。
Intune のデバイス コンプライアンスの詳細については、こちらを参照してください。
Microsoft Entra IDの条件付きアクセスでサポートされているブラウザーの詳細を確認してください。
次のシナリオは、デバイス ベースの条件付きアクセスに基づいて構築され、特定のコンテキストでどのように適用されるかを示しています。
ネットワーク アクセス制御に基づく条件付きアクセス
Intune は Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーと統合され、Intune 登録とデバイスのコンプライアンス対応状態に基づいたアクセス制御が提供されます。
ユーザーは、使用しているデバイスが管理され、Intune デバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、会社の Wi-Fi や VPN リソースへのアクセスを許可または拒否されます。
- NAC と Intune の統合について詳しくは、こちらをご覧ください。
デバイスのリスクに基づく条件付きアクセス
Intuneモバイル脅威防御ベンダーと提携し、モバイル デバイス上のマルウェア、トロイの木馬、その他の脅威を検出するセキュリティ ソリューションを提供します。 モバイル デバイスにモバイル脅威防御エージェントがインストールされている場合、エージェントはコンプライアンス状態メッセージをIntuneに送信して、脅威が検出されたときに報告します。 この統合は、デバイス リスクに基づく条件付きアクセスの決定の要因となります。
- Intune Mobile Threat Defense について詳しくは、こちらをご覧ください。
Windows PC の条件付きアクセス
PC の条件付きアクセスでは、モバイル デバイスで利用できる機能と同様の機能が提供されます。 Intuneで PC を管理する場合は、次のオプションを使用できます。
企業所有
Microsoft Entraハイブリッド参加済み: このオプションは、AD グループ ポリシーまたはConfiguration Managerを使用して PC を既に管理している方法にかなり慣れている組織で一般的に使用されます。
Microsoft Entraドメイン参加済みおよびIntune管理: このシナリオは、クラウドファースト (つまり、主にクラウド サービスを使用し、オンプレミス インフラストラクチャの使用を減らすことを目標とする) またはクラウド専用 (オンプレミス インフラストラクチャなし) を希望する組織向けです。 Microsoft Entra参加はハイブリッド環境で適切に機能し、クラウドとオンプレミスの両方のアプリとリソースにアクセスできます。 デバイスはMicrosoft Entra IDに参加し、Intuneに登録されます。これは、企業リソースにアクセスするときに条件付きアクセス条件として使用できます。
Bring Your Own Device (BYOD)
- Workplace Join と Intune 管理: この場合、ユーザーは個人のデバイスを参加させて、会社のリソースやサービスにアクセスできます。 Workplace Join を使用してデバイスを Intune MDM に登録し、デバイスレベルのポリシーを受け取ることができます。これは、条件付きアクセスの基準を評価する別のオプションです。
Microsoft Entra IDのデバイス管理の詳細については、こちらをご覧ください。
アプリ ベースの条件付きアクセス
アプリベースの条件付きアクセスは、デバイス レベルではなくアプリ レベルでアクセスを保護するため、登録されていないデバイスに適しています。 次の記事では、Intuneのアプリベースの条件付きアクセス シナリオについて説明します。