こんにちは!市川です!
ネットカフェのPCや自宅の個人用PCなど、会社が許可していないデバイスからのアクセスは、ウイルスやマルウェアに感染している可能性があるため危険です。また、セキュリティ対策が不十分なため、情報漏洩やネットワーク攻撃のリスクも増大します。
そこで、Intune管理センターの条件付きアクセスを使用して、企業のセキュリティ要件に準拠しているデバイスのみ、リソースへのアクセスを許可する方法を解説します。
これにより、会社が許可していないデバイスからのアクセスを防ぎ、ウイルスの侵入や情報漏えいのリスクを低減します。また、2人体制の認証により、単体ログインを防ぎ、セキュリティを強化します。
ぜひ条件付きアクセスを駆使して、安心・安全な環境を実現しましょう!
・会社が許可していないデバイスからのアクセスの場合
・会社が許可しているデバイスからのアクセスの場合
目次
- 手順1 なぜ非準拠デバイスのアクセスを防ぐ?
- 手順2 条件付きアクセスポリシーの作成
- 手順3 パターン別の反映結果
- -ポリシーオン/非準拠デバイスでアクセスした場合
- -ポリシーオフ/非準拠デバイスでアクセスした場合
- -ポリシーオン/準拠しているデバイスでアクセスした場合
- 手順4 サインインログの確認
手順1 なぜ非準拠デバイスのアクセスを防ぐ?
会社が許可していないデバイスのアクセスを制御することは、なぜ重要なのか?その理由には以下の4つが挙げられます。
・セキュリティリスクを軽減するため
非準拠デバイスはウイルスやマルウェアに感染しやすく、企業のネットワークに侵入するリスクがあります。
・情報漏洩を防止するため
非準拠デバイスはセキュリティ対策が不十分で、機密情報が漏洩する可能性があります。
・ネットワーク攻撃を防御するため
非準拠デバイスはネットワーク攻撃の標的となりやすく、企業のシステムに悪影響を及ぼすことがあります。
・コンプライアンスの遵守のため
業界標準や法律に基づいたセキュリティ要件を満たすために、非準拠デバイスのアクセスを制限することが求められます。
手順2 条件付きアクセスポリシーの作成
1.Microsoft Intune 管理センターを開き、「デバイス」をクリックし「条件付きアクセス」を開きます。
2.「新しいポリシーを作成する」をクリックします。
3.「名前」を入力し、「ユーザー」をクリックします。
※ここでは、名前に「YJK_policy_all_users_device_compliance」と入力します。
4.「ユーザーとグループの選択」をクリックし、「ユーザーとグループ」を選択します。
5.対象に含めるユーザーや、グループにチェックを入れ「選択」をクリックします。
6.「対象外」をクリックし、「ユーザーとグループ」をクリックします。
7.対象外に含めるユーザーや、グループにチェックを入れ「選択」をクリックします。
※ 緊急アクセスアカウントやサービスアカウントなど、特定のアカウントをポリシーから除外することが推奨されています。これにより、ポリシーの構成ミスによるロックアウトを防ぎます。
8.「ターゲットリソース」をクリックし、「すべてのリソース(以前の’すべてのクラウド アプリ’)」をクリックします。
9.「許可」をクリックし、「アクセス権の付与」を選択します。
10.「デバイスは準拠しているとしてマーク済みである必要があります」にチェックを入れ、「選択」をクリックします。
11.「ポリシーの有効化」を「オン」に切り替え、「作成」をクリックします。
12.ポリシーが作成されました。
13.「すべてのポリシーを表示」をクリックします。
14.作成したポリシーが反映されました。
手順3 パターン別の反映結果
-ポリシーオン/非準拠デバイスでアクセスした場合
1. Microsoft 365 にサインインします。
2.アカウントを入力し「次へ」をクリックします。
3.パスワードを入力し、「サインイン」をクリックします。
4.「会社リソースにアクセスするにはEdgeブラウザー プロファイルにサインインする必要が必要があります」という表示が出るため、「Edgeプロファイルの切り替え」をクリックします。
5.「デバイスは組織のコンプライアンス要件に準拠している必要があります」という表示がされ、想定通りアクセスができませんでした。
-ポリシーオフ/非準拠デバイスでアクセスした場合
1.アカウントを入力し「次へ」をクリックします。
2.パスワードを入力し、「サインイン」をクリックします。
3.非準拠デバイスのアクセス制御がされていないため、ポータルにアクセスできてしまいました。 Microsoft 365 管理センターにもアクセスできるか「管理」をクリックしてみます。
4. Microsoft 365 管理センターにもアクセスできてしまいました。
-ポリシーオン/準拠しているデバイスでアクセスした場合
1.アカウントを入力し「次へ」をクリックします。
2.パスワードを入力し、「サインイン」をクリックします。
3.「会社リソースにアクセスするにはEdgeブラウザー プロファイルにサインインする必要が必要があります」という表示が出るため、「Edgeプロファイルの切り替え」をクリックします。
4.準拠しているデバイスでのアクセスのため、ポータルにアクセスできました。 Microsoft 365 管理センターにもアクセスできるか「管理」をクリックしてみます。
5.Microsoft 365 管理センターにもアクセスできました。
手順7 サインインログの確認
サインインログを確認してみます。
ポリシーオン/非準拠の場合
1.Microsoft Intune管理センターから「ユーザー」をクリックします。
2.サインインログを確認したい対象ユーザーをクリックします。
3.「サインインログ」を開きサインイン ログを確認することができます。 状態が「失敗」と表示されています。
4.クリックすると詳細が表示され、こちらでも状態が「失敗」と表示されています。 条件付きアクセスポリシーの制御機能により、サインインが失敗したことが分かります。
5.先ほど作成したポリシーの適用状況の詳細を確認するため「条件付きアクセス」のタブをクリックし、ポリシーを開きます。
6.該当ポリシーをクリックすると詳細が表示され、「ポリシーの状態:有効」「結果:失敗」と表示されていることがわかります。
7.「制御の許可」には「満足していない」、「準拠しているデバイスが必要です」と表示され、非準拠デバイスからのアクセスは拒否した。ということがわかります。
ポリシーオン/準拠の場合
1.同様にサインインログを確認してみます。 状態が「成功」と表示されています。
2.クリックすると詳細が表示され、こちらでも状態が「成功」と表示されています。
3.該当ポリシーをクリックすると詳細が表示され、「ポリシーの状態:有効」「結果:成功」と表示されていることがわかります。
4.「制御の許可」には「満足している」、「準拠しているデバイスが必要です」と表示され、準拠デバイスからのアクセスなので、許可した。ということがわかります。
その他お困りごとも動画で解説!
