1. はじめに
Microsoft Sentinel から Microsoft 365 Defender のデータコネクターにアクセスした際、このようなエラーが発生して M365Defender データコネクターの操作ができない状態になりました。
こちらの対処方法についてまとめたいと思います。
- エラーメッセージ
アクセストークンの取得中にポータルで問題が発生しました。もう一度サインインすることをお勧めします。アクセストークンなしで続行すると、ユーザーエクスペリエンスが最適でなくなる可能性があります。追加情報:"AADSTS50131: Device is not in required device state: known. Or, the request was blocked due to suspicious activity, access policy, or security policy decisions.
2. エラーの回避方法
残念ながら、エラーにある [もう一度サインイン] からサインインし直しても状況は変わりません。本エラーを回避してM365Defender データコネクターの設定をするには、以下の2つの方法があります。
2.1 AAD Join もしくは AAD Register した端末から設定を行う
エラーに記載の通り、AAD に登録されていないデバイスからアクセスしている場合に発生するエラーです。AAD Join した端末からであればエラーにならず操作が可能です。私の環境では、AAD Join と AAD Register した端末からアクセスすることで M365Defender データコネクターの操作をできることを確認しました。Hybrid AD Join した端末からのアクセスでも大丈夫かなと思っています。
2.2 条件付きアクセスのクラシックポリシーを [除外] もしくは [無効化] する
このエラーを発生している原因として、条件付きアクセスのクラシックポリシーの [Windows Defender ATP] デバイス ポリシー が影響しています。
Microsoft Sentinel で M365Defender データコネクターの設定を有効化するユーザーが所属するグループを対象外とするとこや、ポリシー自体を無効化することで、エラーを回避することができるようになります。
-
クラシックポリシーから特定グループを対象外とする設定
-
クラシックポリシーを無効化する設定
なお、無効化すると有効化はできない仕様になっているのでご注意ください。
3. クラシックポリシー [Windows Defender ATP]デバイスポリシーとは
[Windows Defender ATP]デバイスポリシーは、Intune と Defender for Endpoint (旧 Windows Defender ATP) を接続すると作成されるポリシーです。
M365Defender ポータルのこの接続設定をすることでクラシックポリシーが作成されます。
このクラシックポリシーは、IOS や Android 向けの脅威検知アプリである MTD (Mobile Threat Defense) アプリが デバイスの準拠状況を確認するために利用されます。
MTD アプリを利用していないのであれば、クラシックポリシーの削除や無効化という対処でも大丈夫です。
MTD アプリの利用状況がわからなかったり利用している場合は、Microsoft Sentinel で M365Defender データコネクターを操作するユーザーを含めたグループを、クラシックポリシーの対象外とする対応がお勧めです。
4. まとめ
Microsoft Sentinel に M365Defender のログを取り込もうとした際に本エラーに遭遇した方はぜひ回避方法を試してみてください。問題なく設定できるようになります。
クラシックポリシーですが、もし間違えて削除してしまっても、M365Defender から Microsoft Intune 接続の解除と接続の操作をすればクラシックポリシーが再度作成されると思うのでお試しください!