3rdパーティ製アプリとのシングルサインと条件付きアクセスの設定を色々試してみました。そこで色々わかったことを纏めてみました。
#1:モバイルで3rdパーティ製アプリからアクセスさせると、条件付きアクセスでintuneに準拠されない
モバイル専用のアプリが用意されている 3rdパーティ製アプリは結構多いですが、
現状ほとんどのアプリが、条件付きアクセスでintune準拠の判定に対応出来ていません。
この理由として、モバイル自体にはintuneのデバイス証明書がインストールされてても、3rdパーティ製アプリがそのデバイス証明書を取得して、AzureADに提示するという実装が出来ていない為だと思われます。デバイス証明が提示できない=intuneに準拠されていると判定されないということですね。
これにより、例えばAzureADでセキュリティ向上の為に、シングルサインオン+intueデバイス準拠という二要素認証を実現したくても出来ません。
Edge等のブラウザからアクセスさせれば、intune準拠は可能ですが、それだとユーザー側の負担が大きくなりますよね。
これはMicrosoftでどうこう出来ることというよりは、3rdパーティ製アプリ側で実装が必要になる話だと思いますが、現状ほとんどのアプリが実装できていない気がしています。
#2:シングルサインオンやユーザープロビジョニングでネスト構造のSG(セキュリティグループ)が利用できない
ユーザープロビジョニングは連携させるユーザーを指定する必要があるのですが、連携はセキュリティグループでも指定することが出来ます。
ただし、セキュリティグループがネスト(入れ子)構造になっていると、入れ子のSGは連携されません。
ADの考え方では 入れ子のSGを使っていることが多いので、AADCでSGを連携させてもプロビジョニングには利用できず。3rdパーティ製アプリの連携するユーザーに合わせたネスト構造でないSGを毎回作成しなければならず、管理も含めて非常に不便です。
シングルサインオンは設定で、連携するユーザーを指定可否を設定できます。
設定しない場合誰でもアクセスは可能になります
もちろん3rdパーティ製アプリ側にアクセスしたユーザーがいなければ、その時点ではシングルサインオンは拒否されます。
ただし3rdパーティ製アプリが 例えばメールアドレスでアクセスしたら勝手にユーザが作成されるアプリだった場合、勝手にユーザーが作成されるのは困るので、Azure側でアクセスするユーザーを制御する必要が出てくると思います。ここにネストのSGが利用できないのは痛いですね
#3:MFAはあくまでユーザーの二要素認証である
モバイルからのアクセスで、3rdパーティ製アプリがintuneに準拠できないなら、MFAで二要素認証にしようって考えることはあると思いますが、このMFAはあくまで、ユーザーの二要素になるのでデバイスの判定はされません。
つまりどういうことかというと、個人のデバイスで3rdパーティ製アプリにアクセスして、個人のデバイスを電話着信で2要素に使うことも可能というわけです。
(デバイスを制御しているわけではないから当然ですよね)
本来であれば、会社至急のデバイスからしかアクセスさせたくないから、会社至急の端末からアクセス且つ、MFAの二要素というのを実現したいところですが。。。。
intuneに準拠させようとすると、1:に戻りアプリからデバイス判定が通らなくなります。
代わりにMFAを利用すると、どのデバイスからもアクセス可能になる気がします。
(運用で、会社の携帯からアクセスしてねって制御するしかないかも)
細かい部分を上げると他にも色々ありますが、
現状気になっているのは、上記3点です。是非何とかしてほしい。。。
どなたかのお役に立てれば幸いです(^^)