適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックの情報は、System Center 2012 Configuration Manager SP2 および System Center 2012 R2 Configuration Manager SP1 に適用されます。
Microsoft Intune の条件付きアクセス拡張機能を使用している場合は、この拡張機能が中核となる製品に同梱されるようになったため、Configuration Manager コンソールの [Microsoft Intune の拡張機能] ノードに表示されません。
ただし、System Center 2012 R2 Configuration Manager SP1 については、11 月 2 日時点で、次の新機能が条件付きアクセス拡張機能によって提供されます。この拡張機能は、Configuration Manager コンソールの [Microsoft Intune 用拡張機能] ノードに表示されます。
-
最小 OS のコンプライアンス規則
-
最大 OS のコンプライアンス規則
Configuration Manager で条件付きアクセスを使用することにより、Microsoft Intune に登録されているデバイスで、指定する条件に基づいて電子メールやその他のサービスをセキュリティで保護できます。
条件付きアクセスの一般的なフローは、次のようになります。
条件付きアクセスを使用すると、次のサービスへのアクセスを管理できます。
Microsoft Exchange On-premises
Microsoft Exchange Online
Exchange Online Dedicated
SharePoint Online
次のプラットフォームでは、組み込みの電子メール クライアントから Exchange Online と Exchange On-premises へのアクセスを制御できます。
前述のプラットフォームでは、次のアプリケーションから SharePoint Online へのアクセスを制御できます。
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android および iOS)
Microsoft Word (iOS)
Microsoft Excel (iOS)
Microsoft PowerPoint (iOS)
Microsoft OneNote (iOS)
以下を実行している PC で、Office デスクトップ アプリケーションが Exchange Online および SharePoint Online にアクセスできます。
[!メモ]
PC がドメインに参加しているか、Intune に設定されたポリシーに準拠している必要があります。
条件付きアクセスを実装するには、Configuration Manager で次の 2 種類のポリシーを構成します。
コンプライアンス ポリシー。ユーザー コレクションに展開できるオプションのポリシーで、次のような設定を評価します。
コンプライアンス ポリシーがデバイスに展開されていない場合、適用可能なすべての条件付きアクセス ポリシーでデバイスが準拠デバイスとして扱われます。
条件付きアクセス ポリシー。このポリシーは特定のサービス用に構成され、どの Azure Active Directory セキュリティ ユーザー グループまたは Configuration Manager ユーザー コレクションを対象とするか、などを定義します。
Configuration Manager コンソールから、オンプレミスの Exchange 条件付きアクセス ポリシーを構成します。 ただし、Exchange Online または SharePoint Online のポリシーを構成する場合は、そのポリシーを構成するための Microsoft Intune 管理コンソールが開きます。
他の Intune や Configuration Manager のポリシーとは異なり、条件付きアクセス ポリシーは展開しません。 その代わり、このポリシーを 1 回構成すると、すべての対象ユーザーに適用されます。
構成した条件をデバイスが満たしていない場合、デバイスの登録と、デバイスが準拠デバイスとなることを妨げている問題の修正を行うプロセスがユーザーに案内されます。
アップグレードを開始する前に
条件付きアクセスの使用を開始する前に、次の該当する要件を満たしていることを確認してください。
Exchange Online (共有マルチテナント環境を使用) |
Exchange Online への条件付きのアクセスでは、次を実行するデバイスがサポートされます。
Windows 8.1 以降 (Intune に登録されている場合) Windows 7.0 または Windows 8.1 (ドメインに参加している場合) Windows Phone 8.1 以降 iOS 7.1 以降 Android 4.0 以降、Samsung Knox Standard 4.0 以降
補足:
デバイスをワークプレース参加させる必要があります。ワークプレース参加させると、デバイスは Azure Active Directory Device Registration Service (AAD DRS) に登録されます。
ドメインに参加した PC は、グループ ポリシーまたは MSI によって自動的に Azure Active Directory に登録されるはずです。 このトピックの「PC の条件付きアクセス」セクションに、PC の条件付きアクセスを有効にするためのすべての要件が説明されています。
AAD DRS は、Intune や Office 365 のお客様に対して自動的にアクティブ化されます。 ADFS Device Registration Service をデプロイ済みのお客様には、オンプレミスの Active Directory で登録されたデバイスは表示されません。 Exchange Online を含む Office 365 サブスクリプション (E3 など) を使用する必要があります。ユーザーには Exchange Online のライセンスが必要です。 オプションの Exchange Server コネクタにより、Configuration Manager が Microsoft Exchange Online に接続されて、Configuration Manager コンソールでデバイス情報を監視できるようになります (「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照)。 コンプライアンス ポリシーまたは条件付きアクセス ポリシーを使用するうえでコネクタを使用する必要はありませんが、条件付きアクセスの影響を評価するためのレポートの実行に必要です。 |
Exchange Online Dedicated |
Exchange Online Dedicated への条件付きのアクセスでは、次を実行するデバイスがサポートされます。
Windows 8 以降 (Intune に登録されている場合) Windows 7.0 または Windows 8.1 (ドメインに参加している場合)
新しい Exchange Online 専用環境にあるテナント専用のドメイン参加 PC への条件付きアクセス Windows Phone 8 以降 Exchange ActiveSync (EAS) 電子メール クライアントを使用する iOS デバイス Android 4 以降 従来の Exchange Online Dedicated 環境のテナントの場合:
Configuration Manager を Microsoft Exchange On-premises に接続する Exchange Server コネクタを使用する必要があります。 これにより、モバイル デバイスを管理して、条件付きアクセスを有効にできるようになります (「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照)。 新しい Exchange Online Dedicated 環境のテナントの場合:
オプションの Exchange Server コネクタにより、Configuration Manager が Microsoft Exchange Online に接続されて、デバイス情報を管理できるようになります (「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照)。 コンプライアンス ポリシーまたは条件付きアクセス ポリシーを使用するうえでコネクタを使用する必要はありませんが、条件付きアクセスの影響を評価するためのレポートの実行に必要です。 |
Exchange On-premises |
Exchange On-premises に対する条件付きアクセスでは、次のデバイスをサポートします。
Windows 8 以降 (Intune に登録されている場合) Windows Phone 8 以降 iOS のネイティブ電子メール アプリ Android 4 以降のネイティブ電子メール アプリ Android と iOS の Microsoft Outlook アプリはサポートされていません。
補足:
Exchange のバージョンは、Exchange 2010 以降である必要があります。 Exchange Server クライアント アクセス サーバー (CAS) アレイがサポートされています。
Exchange 環境が CAS サーバー構成にある場合は、CAS サーバーのいずれかを指すようにオンプレミスの Exchange コネクタを構成する必要があります。 |
Configuration Manager を Microsoft Exchange On-premises に接続する Exchange Server コネクタを使用する必要があります。 これにより、モバイル デバイスを管理して、条件付きアクセスを有効にできるようになります (「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照)。
最新バージョンの On-Premises Exchange Connector を使用していることを確認してください。 オンプレミスの Exchange コネクタは、Configuration Manager コンソールからインストールし、構成する必要があります。 詳細なチュートリアルについては、「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照してください。 コネクタは、System Center Configuration Manager のプライマリ サイトにのみインストールする必要があります。 このコネクタは、Exchange CAS 環境をサポートします。 コネクタを構成する際には、Exchange CAS サーバーのいずれかと通信するように設定する必要があります。 Exchange ActiveSync は、証明書ベースの認証またはユーザーの資格情報のエントリで構成できます。 |
SharePoint Online |
SharePoint Online への条件付きアクセスでは、次を実行するデバイスがサポートされます。
Windows 8.1 以降 (Intune に登録されている場合) Windows 7.0 または Windows 8.1 (ドメインに参加している場合) Windows Phone 8.1 以降 iOS 7.1 以降 Android 4.0 以降、Samsung Knox Standard 4.0 以降
補足:
デバイスをワークプレース参加させる必要があります。ワークプレース参加させると、デバイスは Azure Active Directory Device Registration Service (AAD DRS) に登録されます。
ドメインに参加した PC は、グループ ポリシーまたは MSI によって自動的に Azure Active Directory に登録されるはずです。 このトピックの「PC の条件付きアクセス」セクションに、PC の条件付きアクセスを有効にするためのすべての要件が説明されています。
AAD DRS は、Intune や Office 365 のお客様に対して自動的にアクティブ化されます。 ADFS Device Registration Service をデプロイ済みのお客様には、オンプレミスの Active Directory で登録されたデバイスは表示されません。 SharePoint Online サブスクリプションが必要です。ユーザーには、SharePoint Online のライセンスが必要です。 |
PC に対する条件付きアクセス |
PC が Office デスクトップ アプリケーションを実行して Exchange Online と SharePoint Online にアクセスする場合、次の要件を満たす PC に対して条件付きアクセスをセットアップできます。
Windows 7.0 または Windows 8.1 を実行している PC であること。 ドメインに参加しているか、ドメイン対応の PC であること。
ドメインに対応するためには、PC が Intune に登録済みで、ポリシーに準拠している必要があります。
ドメインに参加する PC の場合、Azure Active Directory にデバイスを自動的に登録するように設定する必要があります。 Office 365 の最新の認証が有効化されていて、最新の Office 更新プログラムがすべて適用されている必要があります。
最新の認証により、Active Directory Authentication Library (ADAL) ベースのサインインが Office 2013 Windows クライアントに導入され、多要素認証および証明書ベースの認証などのより強力なセキュリティが有効になります。 最新ではない認証プロトコルをブロックするように ADFS 要求規則を設定します。 |
次の手順
必要なシナリオのコンプライアンス ポリシーと条件付きアクセス ポリシーを構成する方法については、次のトピックを参照してください。
.jpeg "Advanced conditional access flow")
.jpeg "System_CAPS_tip")
ヒント