Intune × Entra ID の条件付きアクセス連携
Microsoft Intune と Microsoft Entra ID の条件付きアクセス連携を、デバイスコンプライアンス・Microsoft Entra 参加・運用上の注意点まで整理します。
最終更新:
定義
Microsoft Intune と Microsoft Entra ID の条件付きアクセス連携とは、Intune が評価したデバイスのコンプライアンス状態(準拠 / 非準拠)と Microsoft Entra 参加状態を、Entra ID の条件付きアクセス(Conditional Access)ポリシーの「条件」として参照し、Microsoft Entra ID で保護されたアプリへのアクセスを許可・ブロックする仕組みです。Microsoft が公式に提供している標準機能で、Intune の「コンプライアンス ポリシー」が判定結果を Entra ID に送り、Entra ID 側が「準拠していないデバイスをブロック」「準拠デバイスのみ承認済みアプリでアクセス可」などの制御を行います。
要点
- Intune の「コンプライアンス ポリシー」がデバイスを「準拠 / 非準拠」に分類し、その結果が Microsoft Entra ID にシグナルとして送られる。
- Microsoft Entra ID の「条件付きアクセス」ポリシーは、コンプライアンス状態・Microsoft Entra 参加状態・場所・サインインリスク・ユーザー リスクなどを条件として評価できる。
- 「準拠としてマーク済みのデバイスが必要」「Microsoft Entra ハイブリッド参加済みデバイスが必要」「承認されたクライアント アプリが必要」などをグラント コントロールとして要求できる。
- セッション コントロールでは「アプリで適用される制限を使用する(Microsoft 365)」「サインインの頻度」「永続的なブラウザー セッション」などを構成できる。
- Windows Autopilot を用いて出荷時の OOBE 経由でデバイスを Microsoft Entra 参加 + Intune 登録させると、初回サインインの時点で条件付きアクセスの評価対象になる。
- Intune の「リモート アクション」で「ワイプ」「廃止」「リセット」等を実行できるが、攻撃者に Intune 管理者権限を奪取されると正規ワイプが攻撃手段になり得る(報道された Stryker 事例で類似のシナリオが指摘されている)。
- コンプライアンス ポリシーや条件付きアクセスのロールアウトは、まず「レポート専用」モードで影響範囲を確認し、その後 Enforce に切り替える運用が Microsoft 公式に推奨されている。
条件付きアクセスの主なコントロール種別
| 種別 | 代表的なコントロール | 評価タイミング |
|---|---|---|
| グラント コントロール | 多要素認証を要求 / 準拠としてマーク済みのデバイスが必要 / Microsoft Entra ハイブリッド参加済みデバイスが必要 / 承認されたクライアント アプリが必要 / アプリの保護ポリシーが必要 | サインイン時(アクセス要求の評価時) |
| セッション コントロール | アプリで適用される制限を使用する(Microsoft 365 / Exchange Online / SharePoint Online)/ 条件付きアクセス アプリ制御 / サインインの頻度 / 永続的なブラウザー セッション | サインイン後のセッション中 |
| 認証強度 | 多要素認証強度 / フィッシング耐性 MFA 強度(FIDO2 セキュリティ キー / Windows Hello for Business / 証明書ベース認証) | サインイン時(多要素認証の手段を制約) |
よくある質問
- Intune のコンプライアンス ポリシーと Entra ID の条件付きアクセスは、どちらで何を制御しますか?
- Intune のコンプライアンス ポリシーは「デバイスが組織のセキュリティ要件(OS バージョン、ディスク暗号化、ウイルス対策の状態、ジェイルブレイク有無など)を満たしているか」を判定し、その結果を「準拠 / 非準拠」というシグナルとして Microsoft Entra ID に送ります。条件付きアクセスは Entra ID 側の機能で、そのシグナルやユーザー / 場所 / アプリ / リスクなどを条件として、最終的なサインインを許可・ブロック・追加認証を要求します。
- 「準拠としてマーク済みのデバイスが必要」と「Microsoft Entra ハイブリッド参加済みデバイスが必要」はどちらを使えばよいですか?
- Microsoft の公式ドキュメントでは、ハイブリッド参加で運用しているデバイス フリートには「Microsoft Entra ハイブリッド参加済みデバイスが必要」、Microsoft Entra 参加(クラウド管理)と Intune 登録で運用しているフリートには「準拠としてマーク済みのデバイスが必要」を使う構成が説明されています。両方を同時に「いずれかが必要」として要求することも可能ですが、まずレポート専用モードで影響を確認することが推奨されています。
- Intune の正規ワイプ機能が攻撃に悪用されたという話を聞きました。条件付きアクセスで防げますか?
- 報道された Stryker Corporation の Intune 関連事例では、攻撃者が正規の Intune 管理者権限を奪取して「ワイプ」を発行したとされています。条件付きアクセスは「Intune 管理コンソールへのサインイン」自体を強化する手段としては有効で、Microsoft Entra ID の「Intune Microsoft Graph API / Intune 管理ポータル」を対象にフィッシング耐性 MFA・特権 ID 管理(PIM)・サインイン リスクなどを要求できます。攻撃面を狭めるには、Intune 管理者を最小化し、PIM で時限付与にすることが Microsoft の公式推奨です。
- 条件付きアクセスは、社外の SaaS(Salesforce や Box など)にも効きますか?
- はい。対象 SaaS が Microsoft Entra ID のエンタープライズ アプリケーションとして SSO 連携されていれば、Microsoft Entra ID 経由のサインインに対して条件付きアクセスのポリシーが評価されます。Salesforce / Box / Workday などのギャラリー アプリは Microsoft Entra ID のドキュメントに連携手順が掲載されており、条件付きアクセスをそのまま適用できます。
- ロールアウト前に影響範囲を確認する方法は?
- Microsoft Entra ID の条件付きアクセスには「ポリシーの状態」として「オン」「オフ」「レポート専用」の 3 段階があります。「レポート専用」モードでは実際にはブロック / 要求は発生せず、ポリシーを適用した場合の結果のみがサインイン ログに記録されます。また、「What If ツール」を使うことで、特定ユーザー・アプリ・条件の組み合わせで適用されるポリシーを事前にシミュレートできます。