条件付きアクセスは、ユーザーやデバイスのアクセス条件に基づいて、接続先のクラウドアプリやリソースへのアクセスを制御します。
例えば、Intuneにおけるデバイスのコンプライアンスが非準拠であれば、特定のクラウドアプリケーションには接続させない などの制御ができます。
Microsoft Intuneではコンプライアンスポリシーにより、デバイスの状態をチェックし、デバイス状態がポリシーに非準拠であれば、「このデバイスは非準拠です」とEntra IDに連携されます。
非準拠とされたデバイスから、EntraID経由で認証をして接続するMicrosoft365アプリなどへの接続を、EntraIDの認証時に制御することができます。
この記事では、Intuneにおけるデバイスのコンプライアンスが非準拠であれば、Office365アプリへの接続が制限されるような条件付きアクセスの設定と動作を確認します。
コンプライアンスポリシー設定(Intune)
Intuneのコンプライアンスポリシーについては、下記の記事の設定を使用します。
>> 参考記事 :【Intune】コンプライアンスポリシーの設定と動作確認(Windows)ファイアウォールが有効であることを必要としたコンプライアンスポリシーをWindowsデバイスに適用しています。
デバイスで、ファイアウォールを無効化すると、コンプライアンス状態は非準拠となります。
条件付きアクセスの設定(Entra ID , Intune)
条件付きアクセスは、「Microsoft Entra 管理センタ(https://entra.microsoft.com/)」、および「Microsoft Intune管理センタ(https://intune.microsoft.com/)」いずれでも設定可能です。EntraIDとIntuneが連携されています。
この記事では、「Microsoft Entra 管理センタ」より設定をします。
「保護」>> 「条件付きアクセス」をクリックします。
「新しいポリシーを作成する」をクリックします。
下記のように、適用対象のユーザ/グループ、宛先リソース、接続条件、アクセス制御などを設定する画面が表示されます。
名前
任意の名前(今回は、コンプライアンス アクセス制御 とします)を設定します。
ユーザー
適用対象となるユーザーもしくは、グループを指定します。通常は「すべてのユーザー」を対象にして、管理者などの一部のユーザを対象外にすることが多いです。
今回は、デモとして、テストユーザ、デバイスがメンバーとして登録されているグループ(ComplianceDemoGroup)を指定します。
ユーザー設定のリンクをクリックすると、対象、対象外のタブが出力されます。
「ユーザーとグループの選択」を選択し、「ユーザーとグループ」にチェックを入れ、「選択」の下のリンクをクリックします。
サインインするユーザ(hirotano)をメンバーに含む、グループ(ComplianceDemoGroup)を指定し、「選択」をクリックします。
下記のように登録されます。
ターゲットリソース
ターゲットリソースとして、Office 365 アプリ全般 を対象にします。
ターゲットリソースのリンクをクリックすると、対象、対象外のタブが表示されます。
「アプリを選択」を指定し、「選択」の下のリンクをクリックします。
「選択」画面が表示されます。「Office365」を指定し、「選択」をクリックします。
下記のように、登録されます。
アクセス制御(許可)
「許可」の下のリンクをクリックします。
「許可」画面が出力されます。ここでは、アクセスをブロックするのか、もしくは、なんらか条件を付けてアクセスを許可するのかを設定します。
今回は、デバイスのコンプライアンスが準拠している場合に、接続を許可させるので、「アクセス権の付与」を指定のうえ、「デバイスは準拠しているとしてマーク済みである必要があります」にチェックを入れ、「選択」をクリックします。
ポリシーの有効化
「レポート専用」「オン」「オフ」から選択できます。早速、有効化するため、「オン」を選択します。その後、「作成」をクリックします。
これで、ポリシーが作成されました。
条件付きアクセスの画面で、「ポリシー」をクリックすると、ポリシーの一覧が参照できます。
動作確認
現在、対象デバイス(Win11-1)のファイアウォール機能は無効にしています。
そのため、Microsoft Intune管理センタより対象デバイス(Win11-1)のコンプライアンス状態を確認すると、非準拠 です。
対象デバイス(Win11-1)より、Microsoft365ホーム(https://www.office.com/?auth=2)へアクセスすると、サインイン時に下記のように、コンプライアンス要件に準拠する必要がある旨の結果が出力されます。
「コンプライアンスの確認」をクリックします。
サインイン後、下記のように、準拠すべきコンプライアンスの設定内容が出力されます。
サインインログ確認
「Microsoft Entra 管理センター」もしくは、「Microsoft Intune管理センター」のいずれかで、条件付きアクセスにより、サインインできなかったログを確認することができます。
「Microsoft Entra 管理センター」で確認します。「条件付きアクセス」の画面メニューより、「監視」>> 「サインイン ログ」をクリックします。
上記のアクセスで制限のかかったサインインは、アプリケーション OfficeHome (赤枠)です。
赤枠をクリックすると、詳細情報が確認できます。「条件付きアクセス」タブをクリックします。
コンプライアンスポリシーにより、サインインが失敗していることが確認できます。
コメント