アクセスのブロック
ポリシーをもとにリソースやアプリケーションへのアクセスをブロックする
アクセス権の付与
アクセス権を付与する時に下記の条件をもとにアクセス許可をする制御ができる
- 多要素認証を必須にする
- デバイスが準拠としてマーク済みであること
- ハイブリッドAzure AD参加済みのデバイスであること
- 承認済みのクライアントアプリを必須にする
- アプリの保護ポリシーを必須にする
- パスワードの変更を必須にする
承認済みのクライアントアプリを必須にする
この項目を有効にすることで組織のリソースにアクセスする際に、特定のクライアントアプリからのアクセスからしか許可しない設定ができるようになる。
注意点
- edgeのInPrivateモードは承認済みのクライアントアプリと見なされない
- Intuneのアプリ保護ポリシーと連携している
- つまりiOSとAndroidのみこのポリシーは適用される
- PowerBIを承認済みクライアントアプリとして設定するためにはAzure ADアプリケーションプロキシを使ってPower BIモバイルアプリをオンプレミスのPower BIレポートサーバーに接続することはできない
パスワードの変更を必須にする
制限事項
- すべてのクラウドアプリに割り当てる必要がある
- 準拠デバイスの要求など、他の制御と共存することはできない
- ユーザー、グループ条件もすべてに割り当てる必要がある
- ユーザーリスクが検知された条件下のみで使用できる
セッションコントロール
サインインの頻度や永続的なセッションコントロールの設定ができる
アプリケーションによって適用される制限
選択したクラウドアプリにデバイス情報を渡すことができる
デバイス情報を渡すことができると準拠済みのデバイスかどうか判断したりすることができる
アプリケーションの条件付きアクセス制御
ユーザーのアプリへのアクセスとセッションをリアルタイムで監視・制御できるようになる
MCASと同時に動かすことができる
サインインの頻度
サインインのし直しを求めるまでの期間