方法:条件付きアクセスを使用して、クラウド アプリへのアクセスにアプリ保護ポリシーと承認済みクライアント アプリの使用を必須にするHow to: Require app protection policy and an approved client app for cloud app access with Conditional Access
人々は、個人的な作業と業務上の作業のどちらにもモバイル デバイスを日常的に使用します。People regularly use their mobile devices for both personal and work tasks. 組織は、スタッフの生産性を確保する一方で、安全でない可能性のあるアプリケーションによるデータ損失を防止する必要があります。While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. 条件付きアクセスを使用すると、組織は、Intune アプリ保護ポリシーが適用された承認済み (先進認証対応) クライアント アプリのみにアクセスを制限できます。With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps with Intune app protection policies applied to them.
この記事では、Office 365、Exchange Online、SharePoint Online などのリソースの条件付きアクセス ポリシーを構成する 3 つのシナリオを紹介します。This article presents three scenarios to configure Conditional Access policies for resources like Office 365, Exchange Online, and SharePoint Online.
- シナリオ 1: Office 365 アプリで、承認済みアプリとアプリ保護ポリシーの使用を必須にするScenario 1: Office 365 apps require approved apps with app protection policies
- シナリオ 2: ブラウザー アプリで、承認済みアプリとアプリ保護ポリシーの使用を必須にするScenario 2: Browser apps require approved apps with app protection policies
- シナリオ 3: Exchange Online と SharePoint Online で、承認済みクライアント アプリとアプリ保護ポリシーの使用を必須にするScenario 3: Exchange Online and SharePoint Online require an approved client app and app protection policy
条件付きアクセスでは、これらのクライアント アプリはアプリ保護ポリシーで保護されることが知られています。In the Conditional Access, these client apps are known to be protected with an app protection policy. アプリ保護ポリシーの詳細については、「アプリ保護ポリシーの概要」を参照してくださいMore information about app protection policies can be found in the article,
適格なクライアント アプリの一覧については、アプリ保護ポリシーの要件に関するページを参照してください。For a list of eligible client apps, see .
注意
OR 句は、ポリシー内で使用され、ユーザーが、アプリの保護ポリシーを必須にするまたは承認済みクライアント アプリを必須にするのいずれかの付与の制御をサポートするアプリを利用できるようにします。The or clause is used within the policy to enable users to utilize apps that support either the or grant controls. アプリ保護ポリシーを必須にする付与の制御がサポートされているアプリの詳細については、アプリ保護ポリシーの要件に関するページを参照してください。For more information on which apps support the grant control, see .
シナリオ 1:Office 365 アプリで、承認済みアプリとアプリ保護ポリシーの使用を必須にするScenario 1: Office 365 apps require approved apps with app protection policies
このシナリオでは、Contoso は、Office 365 リソースへのすべてのモバイル アクセスで、アクセス権の取得に先立って、アプリ保護ポリシーで保護された承認済みクライアント アプリ (Outlook Mobile、OneDrive、Microsoft Teams など) の使用を必須とすることにしました。In this scenario, Contoso has decided that all mobile access to Office 365 resources must use approved client apps, like Outlook mobile, OneDrive, and Microsoft Teams protected by an app protection policy prior to receiving access. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.
組織は、モバイル デバイスで承認済みクライアント アプリの使用を必須とするために、次の手順を完了する必要があります。Organizations must complete the following steps in order to require the use of an approved client app on mobile devices.
ステップ 1:Office 365 用の Azure AD 条件付きアクセス ポリシーを構成する
- Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the as a global administrator, security administrator, or Conditional Access administrator.
- [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to > > .
- [新しいポリシー] を選択します。Select .
- ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
- [割り当て] で、 [ユーザーとグループ] を選択します。Under , select
- [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under , select or the specific you wish to apply this policy to.
- [Done] を選択します。Select .
- [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 (プレビュー)] を選択します。Under > , select .
- [条件] で、 [デバイス プラットフォーム] を選択します。Under , select .
- [構成] を [はい] に設定します。Set to .
- Android と iOS を含めます。Include and .
- [条件] で、 [クライアント アプリ (プレビュー)] を選択します。Under , select .
- [構成] を [はい] に設定します。Set to .
- [モバイル アプリとデスクトップ クライアント] と [先進認証クライアント] を選択します。Select and .
- [アクセス制御] > [付与] で、次のオプションを選択します。Under > , select the following options:
- 承認済みクライアント アプリを必須にする
- アプリの保護ポリシーが必要 (プレビュー)
- 選択したコントロールすべてが必要です
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。Confirm your settings and set to .
- [作成] を選択し、ポリシーを作成して有効にします。Select to create and enable your policy.
手順 2:ActiveSync (EAS) を使用する Exchange Online 用の Azure AD 条件付きアクセス ポリシーを構成する
この手順の条件付きアクセス ポリシーの場合、次のコンポーネントを構成します。For the Conditional Access policy in this step, configure the following components:
- [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to > > .
- [新しいポリシー] を選択します。Select .
- ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
- [割り当て] で、 [ユーザーとグループ] を選択します。Under , select
- [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under , select or the specific you wish to apply this policy to.
- [Done] を選択します。Select .
- [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] を選択します。Under > , select .
- [条件] で、次の手順を実行します。Under :
- [クライアント アプリ (プレビュー)] ::
- [構成] を [はい] に設定します。Set to .
- [モバイル アプリとデスクトップ クライアント] と [Exchange ActiveSync クライアント] を選択します。Select and .
- [クライアント アプリ (プレビュー)] ::
- [アクセス制御] > [付与] で、 [アクセスを許可] 、 [Require app protection policy](アプリの保護ポリシーを必須にする) の順に選択し、 [選択] を選択します。Under > , select , , and select .
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。Confirm your settings and set to .
- [作成] を選択し、ポリシーを作成して有効にします。Select to create and enable your policy.
ステップ 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成する
Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article , for steps to create app protection policies for Android and iOS.
シナリオ 2: ブラウザー アプリで、承認済みアプリとアプリ保護ポリシーの使用を必須にするScenario 2: Browser apps require approved apps with app protection policies
このシナリオでは、Contoso は、Web ブラウザーから Office 365 リソースへのすべてのモバイル アクセスで、アクセス権の取得に先立って、アプリ保護ポリシーで保護された承認済みクライアント アプリ (iOS と Android 用の Edge など) の使用を必須とすることにしました。In this scenario, Contoso has decided that all mobile web browsing access to Office 365 resources must use an approved client app, like Edge for iOS and Android, protected by an app protection policy prior to receiving access. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.
組織は、モバイル デバイスで承認済みクライアント アプリの使用を必須とするために、次の手順を完了する必要があります。Organizations must complete the following steps in order to require the use of an approved client app on mobile devices.
ステップ 1:Office 365 用の Azure AD 条件付きアクセス ポリシーを構成する
- Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the as a global administrator, security administrator, or Conditional Access administrator.
- [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to > > .
- [新しいポリシー] を選択します。Select .
- ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
- [割り当て] で、 [ユーザーとグループ] を選択します。Under , select
- [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under , select or the specific you wish to apply this policy to.
- [Done] を選択します。Select .
- [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 (プレビュー)] を選択します。Under > , select .
- [条件] で、 [デバイス プラットフォーム] を選択します。Under , select .
- [構成] を [はい] に設定します。Set to .
- Android と iOS を含めます。Include and .
- [条件] で、 [クライアント アプリ (プレビュー)] を選択します。Under , select .
- [構成] を [はい] に設定します。Set to .
- [ブラウザー] を選択します。Select .
- [アクセス制御] > [付与] で、次のオプションを選択します。Under > , select the following options:
- 承認済みクライアント アプリを必須にする
- アプリの保護ポリシーが必要 (プレビュー)
- 選択したコントロールすべてが必要です
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。Confirm your settings and set to .
- [作成] を選択し、ポリシーを作成して有効にします。Select to create and enable your policy.
手順 2:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成する
Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article , for steps to create app protection policies for Android and iOS.
シナリオ 3: Exchange Online と SharePoint Online で、承認済みクライアント アプリとアプリ保護ポリシーの使用を必須にするScenario 3: Exchange Online and SharePoint Online require an approved client app and app protection policy
このシナリオでは、Contoso は、アクセス権の取得に先立って、ユーザーがアプリ保護ポリシーで保護された Outlook Mobile などの承認済みクライアント アプリを使用している場合に限り、モバイル デバイスでメールと SharePoint データのみにアクセスできるようにすることにしました。In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile protected by an app protection policy prior to receiving access. すべてのユーザーは既に Azure AD 資格情報でサインインしていて、Azure AD Premium P1 または P2、および Microsoft Intune を含むライセンスが割り当てられています。All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.
組織は、モバイル デバイスおよび Exchange ActiveSync クライアント上での承認済みクライアント アプリの使用を必須にするために、次の 3 つの手順を完了する必要があります。Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.
ステップ 1:Exchange Online および SharePoint Online にアクセスする際に承認済みクライアント アプリとアプリ保護ポリシーの使用を必須にする、Android および iOS ベースの先進認証クライアントのポリシー。
- Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the as a global administrator, security administrator, or Conditional Access administrator.
- [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to > > .
- [新しいポリシー] を選択します。Select .
- ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
- [割り当て] で、 [ユーザーとグループ] を選択します。Under , select
- [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under , select or the specific you wish to apply this policy to.
- [Done] を選択します。Select .
- [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] と [Office 365 SharePoint Online] を選択します。Under > , select and .
- [条件] で、 [デバイス プラットフォーム] を選択します。Under , select .
- [構成] を [はい] に設定します。Set to .
- Android と iOS を含めます。Include and .
- [条件] で、 [クライアント アプリ (プレビュー)] を選択します。Under , select .
- [構成] を [はい] に設定します。Set to .
- [モバイル アプリとデスクトップ クライアント] と [先進認証クライアント] を選択します。Select and .
- [アクセス制御] > [付与] で、次のオプションを選択します。Under > , select the following options:
- 承認済みクライアント アプリを必須にする
- アプリの保護ポリシーが必要 (プレビュー)
- 選択したコントロールのいずれかが必要です
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。Confirm your settings and set to .
- [作成] を選択し、ポリシーを作成して有効にします。Select to create and enable your policy.
手順 2:承認済みクライアント アプリの使用を必須にする Exchange ActiveSync クライアントのポリシー。
- [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。Browse to > > .
- [新しいポリシー] を選択します。Select .
- ポリシーに名前を付けます。Give your policy a name. ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。We recommend that organizations create a meaningful standard for the names of their policies.
- [割り当て] で、 [ユーザーとグループ] を選択します。Under , select
- [Include](含める) で、 [すべてのユーザー] を選択するか、このポリシーを適用する特定のユーザーとグループを選択します。Under , select or the specific you wish to apply this policy to.
- [Done] を選択します。Select .
- [クラウド アプリまたは操作] > [Include](含める) で、 [Office 365 Exchange Online] を選択します。Under > , select .
- [条件] で、次の手順を実行します。Under :
- [クライアント アプリ (プレビュー)] ::
- [構成] を [はい] に設定します。Set to .
- [モバイル アプリとデスクトップ クライアント] と [Exchange ActiveSync クライアント] を選択します。Select and .
- [クライアント アプリ (プレビュー)] ::
- [アクセス制御] > [付与] で、 [アクセスを許可] 、 [Require app protection policy](アプリの保護ポリシーを必須にする) の順に選択し、 [選択] を選択します。Under > , select , , and select .
- 設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。Confirm your settings and set to .
- [作成] を選択し、ポリシーを作成して有効にします。Select to create and enable your policy.
ステップ 3:iOS および Android クライアント アプリケーション用の Intune アプリ保護ポリシーを構成する。
Android および iOS 用のアプリ保護ポリシーを作成する手順については、記事「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。Review the article , for steps to create app protection policies for Android and iOS.
次のステップNext steps
条件付きアクセスとはWhat is Conditional Access?