条件付きアクセス:条件Conditional Access: Conditions
管理者は条件付きアクセスポリシー内で、リスク、デバイス プラットフォーム、場所などの条件からのシグナルを利用して、ポリシーの決定を強化できます。Within a Conditional Access policy, an administrator can make use of signals from conditions like risk, device platform, or location to enhance their policy decisions.
複数の条件を組み合わせて、きめ細かで具体的な条件付きアクセス ポリシーを作成することができます。Multiple conditions can be combined to create fine-grained and specific Conditional Access policies.
たとえば、機密性の高いアプリケーションにアクセスするときに、管理者は、多要素認証などの他のコントロールに加えて、Identity Protection や場所からのサインイン リスク情報を、アクセスの決定要因の 1 つとして含めることができます。For example, when accessing a sensitive application an administrator may factor sign-in risk information from Identity Protection and location into their access decision in addition to other controls like multi-factor authentication.
サインイン リスクSign-in risk
Identity Protection にアクセスできるお客様の場合、条件付きアクセス ポリシーの一部としてサインイン リスクを評価できます。For customers with access to , sign-in risk can be evaluated as part of a Conditional Access policy. サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。Sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner. サインイン リスクの詳細については、「リスクとは」と「方法:リスク ポリシーを構成して有効にする」を参照してください。More information about sign-in risk can be found in the articles, and .
デバイス プラットフォームDevice platforms
デバイス プラットフォームは、デバイスで実行されているオペレーティング システムによって分類されます。The device platform is characterized by the operating system that runs on a device. Azure AD では、デバイスによって提供される、ユーザー エージェント文字列などの情報を使用してプラットフォームを識別します。Azure AD identifies the platform by using information provided by the device, such as user agent strings. ユーザー エージェント文字列は変更できるため、この情報は未検証です。Since user agent strings can be modified, this information is unverified. デバイス プラットフォームは、Microsoft Intune デバイス コンプライアンス ポリシーと連携して使用するか、ブロック ステートメントの一部として使用する必要があります。Device platform should be used in concert with Microsoft Intune device compliance policies or as part of a block statement. 既定では、すべてのデバイス プラットフォームに適用されます。The default is to apply to all device platforms.
Azure AD 条件付きアクセスは、次のデバイス プラットフォームをサポートします。Azure AD Conditional Access supports the following device platforms:
- AndroidAndroid
- iOSiOS
- Windows PhoneWindows Phone
- WindowsWindows
- macOSmacOS
警告
Microsoft は、条件付きアクセス ポリシーと macOS 10.15.4 ベースのデバイスに関する問題を認識しています。Microsoft is aware of an issue with Conditional Access policies and macOS 10.15.4 based devices. 詳細については、ブログ記事「Known Issue:Conditional access unexpectedly blocking macOS 10.15.4 native mail client/other apps」 (既知の問題: 条件付きアクセスにより macOS 10.15.4 ネイティブ メール クライアントまたはその他のアプリが予期せずにブロックされる) を参照してください。More information can be found in the the blog post, .
他のクライアント条件を使用してレガシ認証をブロックする場合は、デバイスのプラットフォーム条件も設定できます。If you block legacy authentication using the condition, you can also set the device platform condition.
場所Locations
組織は場所を条件として構成するときに、場所を含めるか除外するかを選択できます。When configuring location as a condition, organizations can choose to include or exclude locations. これらの名前付きの場所には、パブリック IPv4 ネットワーク情報、国、リージョンだけでなく、特定の国やリージョンにマップされていない不明な領域が含まれる場合もあります。These named locations may include the public IPv4 network information, country or region, or even unknown areas that don't map to specific countries or regions. 信頼できる場所としてマークできるのは IP 範囲のみです。Only IP ranges can be marked as a trusted location.
任意の場所を含める場合、このオプションには、構成された名前付きの場所ではなく、インターネット上の任意の IP アドレスが含まれます。When including , this option includes any IP address on the internet not just configured named locations. 任意の場所を選択するときには、管理者は、信頼されているすべての場所または選択した場所を除外することを選択できます。When selecting , administrators can choose to exclude or .
たとえば、組織によっては、物理的な本社のように、信頼できる場所のネットワークにユーザーが接続されているときは多要素認証を要求しないことを選択する可能性もあります。For example, some organizations may choose to not require multi-factor authentication when their users are connected to the network in a trusted location such as their physical headquarters. 管理者は、本社ネットワーク用に選択された場所を除いて、すべての場所を含むポリシーを作成することも可能です。Administrators could create a policy that includes any location but excludes the selected locations for their headquarters networks.
場所に関する詳細については、「Azure Active Directory 条件付きアクセスの場所の条件の概要」の記事を参照してください。More information about locations can be found in the article, .
クライアント アプリ (プレビュー)Client apps (preview)
条件付きアクセス ポリシーは、既定では、ブラウザー ベースのアプリケーションと、最新の認証プロトコルを利用するアプリケーションに適用されます。Conditional Access policies by default apply to browser-based applications and applications that utilize modern authentication protocols. これらのアプリケーションに加えて、管理者は、Exchange ActiveSync クライアントと、レガシ プロトコルを利用する他のクライアントを含めることを選択できます。In addition to these applications, administrators can choose to include Exchange ActiveSync clients and other clients that utilize legacy protocols.
- BrowserBrowser
- これには、SAML、WS-Federation、OpenID Connect、OAuth 機密クライアントとして登録されているサービスなどのプロトコルを使用する Web ベースのアプリケーションが含まれます。These include web-based applications that use protocols like SAML, WS-Federation, OpenID Connect, or services registered as an OAuth confidential client.
- モバイル アプリとデスクトップ クライアントMobile apps and desktop clients
- 先進認証クライアントModern authentication clients
- このオプションには、Office デスクトップや Phone アプリケーションなどのアプリケーションが含まれます。This option includes applications like the Office desktop and phone applications.
- Exchange ActiveSync クライアントExchange ActiveSync clients
- 既定では、これには Exchange ActiveSync (EAS) プロトコルのすべての使用が含まれます。By default this includes all use of the Exchange ActiveSync (EAS) protocol. [サポートされているプラットフォームにのみポリシーを適用する] を選択すると、iOS、Android、Windows などのサポートされているプラットフォームに限定されます。Choosing will limit to supported platforms like iOS, Android, and Windows.
- ポリシーによって Exchange ActiveSync の使用がブロックされると、影響を受けるユーザーには 1 通の検疫電子メールが送信されます。When policy blocks the use of Exchange ActiveSync the affected user will receive a single quarantine email. この電子メールには、ブロックされた理由に関する情報が記載され、可能な場合は修復の手順が含められます。This email with provide information on why they are blocked and include remediation instructions if able.
- その他のクライアントOther clients
- このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。This option includes clients that use basic/legacy authentication protocols that do not support modern authentication.
- 認証済み SMTP - 電子メール メッセージを送信するために POP および IMAP クライアントで使用されます。Authenticated SMTP - Used by POP and IMAP client's to send email messages.
- 自動検出 - Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
- Exchange Online PowerShell - リモート PowerShell を使用して Exchange Online に接続するために使用されます。Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. 手順については、「多要素認証を使用して Exchange Online PowerShell に接続する」を参照してください。For instructions, see .
- Exchange Web サービス (EWS) - Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
- IMAP4 - IMAP 電子メール クライアントで使用されます。IMAP4 - Used by IMAP email clients.
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 以降で使用されます。MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
- オフライン アドレス帳 (OAB) - Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
- Outlook Anywhere (RPC over HTTP) - Outlook 2016 以前で使用されます。Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
- Outlook サービス - Windows 10 用のメール/カレンダー アプリで使用されます。Outlook Service - Used by the Mail and Calendar app for Windows 10.
- POP3 - POP 電子メール クライアントで使用されます。POP3 - Used by POP email clients.
- レポート Web サービス - Exchange Online でレポート データを取得するために使用されます。Reporting Web Services - Used to retrieve report data in Exchange Online.
- このオプションには、最新の認証をサポートしていない基本またはレガシ認証プロトコルを使用するクライアントが含まれます。This option includes clients that use basic/legacy authentication protocols that do not support modern authentication.
- 先進認証クライアントModern authentication clients
これらの条件がよく使用されるのは、マネージド デバイスを要求する場合、レガシ認証をブロックする場合、Web アプリケーションをブロックするがモバイル アプリやデスクトップ アプリは許可する場合です。These conditions are commonly used when requiring a managed device, blocking legacy authentication, and blocking web applications but allowing mobile or desktop apps.
サポートされているブラウザーSupported browsers
この設定は、すべてのブラウザーで動作します。This setting works with all browsers. ただし、デバイス ポリシーを満たすため、準拠デバイスの要件と同様に、次のオペレーティング システムとブラウザーがサポートされています。However, to satisfy a device policy, like a compliant device requirement, the following operating systems and browsers are supported:
| OSOS | ブラウザーBrowsers |
|---|---|
| Windows 10Windows 10 | Microsoft Edge、Internet Explorer、ChromeMicrosoft Edge, Internet Explorer, Chrome |
| Windows 8 / 8.1Windows 8 / 8.1 | Internet Explorer、ChromeInternet Explorer, Chrome |
| Windows 7Windows 7 | Internet Explorer、ChromeInternet Explorer, Chrome |
| iOSiOS | Microsoft Edge、Intune Managed Browser、SafariMicrosoft Edge, Intune Managed Browser, Safari |
| AndroidAndroid | Microsoft Edge、Intune Managed Browser、ChromeMicrosoft Edge, Intune Managed Browser, Chrome |
| Windows PhoneWindows Phone | Microsoft Edge、Internet ExplorerMicrosoft Edge, Internet Explorer |
| Windows Server 2019Windows Server 2019 | Microsoft Edge、Internet Explorer、ChromeMicrosoft Edge, Internet Explorer, Chrome |
| Windows Server 2016Windows Server 2016 | Internet ExplorerInternet Explorer |
| Windows Server 2012 R2Windows Server 2012 R2 | Internet ExplorerInternet Explorer |
| Windows Server 2008 R2Windows Server 2008 R2 | Internet ExplorerInternet Explorer |
| macOSmacOS | Chrome、SafariChrome, Safari |
ブラウザーに証明書のプロンプトが表示される理由Why do I see a certificate prompt in the browser
Windows 7、iOS、Android、および macOS では、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。On Windows 7, iOS, Android, and macOS Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。When a user first signs in through the browser the user is prompted to select the certificate. ユーザーは、ブラウザーを使用する前に、この証明書を選択する必要があります。The user must select this certificate before using the browser.
Chrome のサポートChrome support
Windows 10 Creators Update (バージョン 1703) 以降で Chrome をサポートするには、Windows 10 Accounts 拡張機能をインストールしてください。For Chrome support in or later, install the . 条件付きアクセス ポリシーでデバイス固有の詳細が必要な場合は、この拡張機能が必要です。This extension is required when a Conditional Access policy requires device-specific details.
Chrome ブラウザーにこの拡張機能を自動的に展開するには、次のレジストリ キーを作成します。To automatically deploy this extension to Chrome browsers, create the following registry key:
| PathPath | HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelistHKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist |
| 名前Name | 11 |
| TypeType | REG_SZ (文字列)REG_SZ (String) |
| DataData | ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crxppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx |
Windows 8.1 および 7 で Chrome をサポートするには、次のレジストリ キーを作成してください。For Chrome support in , create the following registry key:
| PathPath | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrlsHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls |
| 名前Name | 11 |
| TypeType | REG_SZ (文字列)REG_SZ (String) |
| DataData | {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}} |
これらのブラウザーはデバイス認証をサポートしており、デバイスを識別してポリシーで検証することができます。These browsers support device authentication, allowing the device to be identified and validated against a policy. ブラウザーがプライベート モードで実行している場合、デバイス チェックは失敗します。The device check fails if the browser is running in private mode.
サポートされているモバイル アプリケーションとデスクトップ クライアントSupported mobile applications and desktop clients
組織は、クライアント アプリとして [モバイル アプリとデスクトップ クライアント] を選択できます。Organizations can select as client app.
この設定は、以下のモバイル アプリおよびデスクトップ クライアントからのアクセス試行に影響を与えます。This setting has an impact on access attempts made from the following mobile apps and desktop clients:
| クライアント アプリClient apps | 対象サービスTarget Service | プラットフォームPlatform |
|---|---|---|
| Dynamics CRM アプリDynamics CRM app | Dynamics CRMDynamics CRM | Windows 10、Windows 8.1、iOS、AndroidWindows 10, Windows 8.1, iOS, and Android |
| メール/カレンダー/People アプリ、Outlook 2016、Outlook 2013 (先進認証を使用)Mail/Calendar/People app, Outlook 2016, Outlook 2013 (with modern authentication) | Office 365 Exchange OnlineOffice 365 Exchange Online | Windows 10Windows 10 |
| アプリ用の MFA と場所のポリシー。MFA and location policy for apps. デバイス ベースのポリシーはサポートされていません。Device-based policies are not supported. | 任意のマイ アプリ アプリ サービスAny My Apps app service | Android および iOSAndroid and iOS |
| Microsoft Teams Services - このコントロールは Microsoft Teams とそのすべてのクライアント アプリ (Windows デスクトップ、iOS、Android、WP、および Web クライアント) をサポートするすべてのサービスを制御するMicrosoft Teams Services - this controls all services that support Microsoft Teams and all its Client Apps - Windows Desktop, iOS, Android, WP, and web client | Microsoft TeamsMicrosoft Teams | Windows 10、Windows 8.1、Windows 7、iOS、Android、および macOSWindows 10, Windows 8.1, Windows 7, iOS, Android, and macOS |
| Office 2016 アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアントOffice 2016 apps, Office 2013 (with modern authentication), | Office 365 SharePoint OnlineOffice 365 SharePoint Online | Windows 8.1、Windows 7Windows 8.1, Windows 7 |
| Office 2016 アプリ、ユニバーサル Office アプリ、Office 2013 (最新の認証を使用)、OneDrive 同期クライアントOffice 2016 apps, Universal Office apps, Office 2013 (with modern authentication), | Office 365 SharePoint OnlineOffice 365 SharePoint Online | Windows 10Windows 10 |
| Office 2016 (Word、Excel、PowerPoint、OneNote のみ)。Office 2016 (Word, Excel, PowerPoint, OneNote only). | Office 365 SharePoint OnlineOffice 365 SharePoint Online | macOSmacOS |
| Office 2019Office 2019 | Office 365 SharePoint OnlineOffice 365 SharePoint Online | Windows 10、macOSWindows 10, macOS |
| Office モバイル アプリOffice mobile apps | Office 365 SharePoint OnlineOffice 365 SharePoint Online | Android、iOSAndroid, iOS |
| Office Yammer アプリOffice Yammer app | Office 365 YammerOffice 365 Yammer | Windows 10、iOS、AndroidWindows 10, iOS, Android |
| Outlook 2019Outlook 2019 | Office 365 SharePoint OnlineOffice 365 SharePoint Online | Windows 10、macOSWindows 10, macOS |
| Outlook 2016 (Office for macOS)Outlook 2016 (Office for macOS) | Office 365 Exchange OnlineOffice 365 Exchange Online | macOSmacOS |
| Outlook 2016、Outlook 2013 (先進認証を使用)、Skype for Business (先進認証を使用)Outlook 2016, Outlook 2013 (with modern authentication), Skype for Business (with modern authentication) | Office 365 Exchange OnlineOffice 365 Exchange Online | Windows 8.1、Windows 7Windows 8.1, Windows 7 |
| Outlook Mobile アプリOutlook mobile app | Office 365 Exchange OnlineOffice 365 Exchange Online | Android、iOSAndroid, iOS |
| Power BI アプリPower BI app | Power BI サービスPower BI service | Windows 10、Windows 8.1、Windows 7、Android、iOSWindows 10, Windows 8.1, Windows 7, Android, and iOS |
| Skype for BusinessSkype for Business | Office 365 Exchange OnlineOffice 365 Exchange Online | Android、iOSAndroid, iOS |
| Visual Studio Team Services アプリVisual Studio Team Services app | Visual Studio Team ServicesVisual Studio Team Services | Windows 10、Windows 8.1、Windows 7、iOS、AndroidWindows 10, Windows 8.1, Windows 7, iOS, and Android |
Exchange ActiveSync クライアントExchange ActiveSync clients
- 組織が Exchange ActiveSync クライアントを選択できるのは、ユーザーまたはグループにポリシーを割り当てるときにだけです。Organizations can only select Exchange ActiveSync clients when assigning policy to users or groups. [すべてのユーザー] 、 [すべてのゲストと外部ユーザー] 、または [ディレクトリ ロール] を選択すると、すべてのユーザーがブロックされます。Selecting , , or will cause all users to become blocked.
- Exchange ActiveSync クライアントに割り当てられるポリシーを作成する場合は、Office 365 Exchange Online が、そのポリシーに割り当てられる唯一のクラウド アプリケーションである必要があります。When creating a policy assigned to Exchange ActiveSync clients, should be the only cloud application assigned to the policy.
- 組織は、 [デバイス プラットフォーム] の条件を使用して、このポリシーの範囲を特定のプラットフォームに限定することができます。Organizations can narrow the scope of this policy to specific platforms using the condition.
ポリシーに割り当てられたアクセス制御で、 [承認済みクライアント アプリを必須にする] が使用されている場合、ユーザーは Outlook モバイル クライアントをインストールして使用するように指示されます。If the access control assigned to the policy uses , the user is directed to install and use the Outlook mobile client. 多要素認証が必須の場合、基本認証では多要素認証がサポートされていないため、影響を受けるユーザーはブロックされます。In the case that is required, affected users are blocked, because basic authentication does not support multi-factor authentication.
詳細については、次の記事を参照してください。For more information, see the following articles:
- 条件付きアクセスを使用してレガシ認証をブロックすることに関する記事
- 条件付きアクセスを使用して承認済みクライアント アプリを必須にすることに関する記事
その他のクライアントOther clients
[その他のクライアント] を選択することで、基本認証とメール プロトコル (IMAP、MAPI、POP、SMTP など) を使用するアプリや、先進認証を使用しない以前の Office アプリに影響を及ぼすポリシーを指定できます。By selecting , you can specify a condition that affects apps that use basic authentication with mail protocols like IMAP, MAPI, POP, SMTP, and older Office apps that don't use modern authentication.
デバイス状態 (プレビュー)Device state (preview)
デバイス状態の条件を使用して、組織の条件付きアクセス ポリシーから、ハイブリッド Azure AD 参加済みデバイスや、Microsoft Intune コンプライアンス ポリシーに準拠しているとマークが付けられているデバイスを除外することができます。The device state condition can be used to exclude devices that are hybrid Azure AD joined and/or devices marked as compliant with a Microsoft Intune compliance policy from an organization's Conditional Access policies.
例: Microsoft Azure の管理クラウド アプリにアクセスするすべてのユーザーについて、アクセス制御とブロックのために、すべてのデバイスの状態を含め、ハイブリッド Azure AD 参加済みのデバイスとデバイスは準拠としてマーク済みを除外する。For example, accessing the cloud app including excluding and and for , .
- この例では、ハイブリッド Azure AD 参加済みデバイスや準拠としてマーク済みのデバイスからは、Microsoft Azure の管理へのアクセスのみを許可するポリシーが作成されます。This example would create a policy that only allows access to Microsoft Azure Management from devices that are hybrid Azure AD joined and/or devices marked as compliant.
次のステップNext steps
Conditional Access common policies (条件付きアクセスの一般的なポリシー)