最終更新日:2022/04/07
[Q]
条件付きアクセスを利用して、会社付与iPhoneからのみ特定のアプリケーションへログインする(個人所有のiPhoneからはログインができない)ことを実現したいです。
上記を実現するためには条件付きアクセスポリシーに以下の2つの条件を入れることで実現可能と認識しています。
・条件⇒デバイスプラットフォーム⇒対象外⇒iOS
・許可⇒デバイスは準拠しているとしてマーク済みである必要がございます。
しかし、この場合2つ目の条件ではデバイスがIntuneに登録されている必要があるため、可能であればAzure ADの内容だけで完結したいと考えており、別の方法を探しています。
そこで2つ目の条件を以下のデバイスフィルターに置き換えることで実現可能と認識していますが相違ございませんでしょうか。また、デバイスフィルターを使う上で前提条件などございますでしょうか(一部のフィルタールールではAzure AD登録済みデバイスである、Intuneに登録済みである必要があるという記載があったための確認です)。
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-condition-filters-for-devices
想定しているのはデバイスファイルターの”フィルターされたデバイスをポリシーから除外する”で
デバイスIDを用いることです。
[A]
以下にデバイス フィルターの概要や設定例を記載いたします。
▼デバイス フィルターの概要
条件付きアクセスのデバイス フィルターでは、ポリシーを適用する条件として Azure AD に登録しているデバイスが持つ属性値を設定することが可能です。
例えば、対象デバイスのデバイス ID を条件に設定することが可能です。
デバイス フィルターで利用できる属性値につきましては、以下の公開情報の「フィルターでサポートされている演算子とデバイスのプロパティ」の項目をご確認いただけますと幸いです。
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-condition-filters-for-devices
▼前提条件
デバイス フィルターをご利用いただくためには、そのデバイスが Azure AD に登録されている必要があります。
Azure AD に登録していないデバイスにつきましては、デバイスフィルターの機能を利用して特定のデバイスとして判定することができません。
また、条件付きアクセスをご利用いただく上では、対象ユーザー分の Azure AD Premium P1 ライセンスが必要となります。
▼設定例
ご要件としましては、会社貸与のデバイスかどうか判定されたいと伺っております。
会社貸与のデバイスが Azure AD に登録されており、またデバイス ID が判明している場合には、デバイス フィルターの機能をご利用いただけると考えております。
以下にポリシーの設定例を記載しましたので、ご確認いただけますと幸いです。
本ポリシーの動作としましては、デバイス フィルターで設定したデバイス ID を持つデバイスのアクセスを許可し、その他のデバイスからのアクセスをブロックします。
-------------------
ポリシー設定例
-------------------
▼割り当て
[ユーザーとグループ]
対象:ポリシーの適用対象とするユーザーをご指定ください。
[クラウド アプリ]
対象:ポリシーの適用対象とするアプリをご指定ください。
[条件]
デバイスのフィルター
・「フィルター処理されたデバイスをポリシーから除外する」にチェックを入れます。
・プロパティ:「DeviceId」を選択します。
・演算子:「次に含まれる」を選択します。
・値:対象デバイスのデバイス ID を列挙します("xxxxx","yyyyy","zzzzz" の形式で入力します)。
▼アクセス制御
[許可]
・「アクセスのブロック」を選択します。
-------------------
もしくは、会社貸与のデバイスのデバイス名に特定の文字列が含まれている場合、「DisplayName」属性により条件を設定することができます。
例として、会社貸与のデバイスのデバイス名が「CORP」で始まる場合、以下のようにポリシーを作成します。
本ポリシーの動作としましては、デバイス名が「CORP」で始まるデバイスのアクセスを許可し、その他のデバイスからのアクセスをブロックします。
-------------------
ポリシー設定例
-------------------
▼割り当て
[ユーザーとグループ]
対象:ポリシーの適用対象とするユーザーをご指定ください。
[クラウド アプリ]
対象:ポリシーの適用対象とするアプリをご指定ください。
[条件]
デバイスのフィルター
・「フィルター処理されたデバイスをポリシーから除外する」にチェックを入れます。
・プロパティ:「DisplayName」を選択します。
・演算子:「次の値で始まる」を選択します。
・値:「CORP」と入力します。
▼アクセス制御
[許可]
・「アクセスのブロック」を選択します。
-------------------
なお、条件付きアクセス ポリシーのサイズ上限は 25K バイトのため、デバイス フィルターで設定いただける文字数にも上限がある点にご留意いただけますと幸いです。