『ソリューション&サービス』トップを見る

閉じる

『目的/課題から探す』一覧を見る

『ITキーワードから探す』一覧を見る

『導入事例』トップを見る

閉じる

『特集・ブログ』トップを見る

閉じる

『ニュース』トップを見る

閉じる

『企業・IR情報』トップを見る

閉じる

『会社情報』トップを見る

『株式・投資家情報』トップを見る

『人事戦略・採用』トップを見る

『サステナビリティ』トップを見る

閉じる

サイト内検索

閉じる

クラウドエンジニアブログ

Intune デバイス コンプライアンス パートナー機能を利用した条件付きアクセス制御のご紹介

曽根 康弘

こんにちは。Microsoft 365 のデバイスセキュリティ機能の導入を担当している曽根です。

本記事では、Microsoft Intune(以降 Intune)とサードパーティ MDM を連携し、サードパーティ MDM で管理されているデバイスのコンプライアンス準拠状態を Azure AD に追加することができる Intune デバイス コンプライアンス パートナー機能について紹介します。

Intune デバイス コンプライアンス パートナー機能と併せて Azure AD 条件付きアクセスの機能を利用することで、Azure AD に追加されたコンプライアンスポリシーの準拠状態に応じてアクセス制御を行うことができます。

Intune デバイス コンプライアンス パートナー機能を利用することで、Intune に MDM を切り替えることなく、現在、企業で利用中の MDM に登録された端末のみ Azure AD 認証が必要なアプリケーションへのアクセスを許可することができます。

本記事では SOTI MobiControl に管理された Android 端末を対象とした Intune との連携方法を記載しています。

目次


事前準備

Intune デバイス コンプライアンス パートナー機能を利用するために必要な環境は以下の通りです。


Intune 管理センター

IT 管理者が Intune の設定を管理するために利用する管理画面です。 Intune デバイス コンプライアンス パートナー機能の設定に利用します。 サードパーティ MDM 管理のデバイスは Intune 管理センター上には登録されません。

Azure AD 管理センター

Azure AD 条件付きアクセスの設定に利用します。 サードパーティ MDM 管理のデバイスが、Azure AD 管理センターに登録されます。

サードパーティ MDM (SOTI MobiControl)

Intune と連携させるサードパーティ MDM です。 今回は、SOTI MobiControl(試用版)を利用しました。
現在、Intune デバイス コンプライアンス パートナー機能を利用可能なサードパーティ MDM は以下となります。

  • Addigy
  • BlackBerry UEM
  • Citrix Workspace デバイス コンプライアンス
  • IBM MaaS360
  • JAMF Pro
  • MobileIron デバイス コンプライアンス クラウド
  • MobileIron Device Compliance On-prem
  • SOTI MobiControl
  • VMware Workspace ONE UEM (旧 AirWatch)

Intune デバイス コンプライアンス パートナー機能を利用可能なサードパーティ MDM の最新情報は以下 URL を参照してください。
サポートされるデバイス コンプライアンス パートナー

Microsoft のライセンス (Microsoft Intune、Azure AD Premium P1)

Intune と Azure AD 条件付きアクセスを利用するため、Microsoft Intune P1 および Azure AD Premium P1 が含まれるライセンスが必要となります。


端末

サードパーティ MDM に登録済みの端末です。本記事では、Android 端末を使用しています。


Azure AD ユーザーと Azure AD セキュリティグループ

Azure AD ユーザーとユーザーを所属させるための Azure AD セキュリティグループを作成します。Azure AD セキュリティグループは、Intune デバイス コンプライアンス パートナー設定と条件付きアクセスポリシーに紐づけます。


Intune と Azure AD の設定

Intune デバイスコンプライアンス機能を利用するための設定方法を記載します。
~参考URL~
Microsoft Intune のデバイス コンプライアンス パートナー

Intune デバイス コンプライアンス パートナー設定

Intune 管理センター上で、コンプライアンスパートナー設定を行います。


1. Intune 管理センターにサインインします。

2. [テナント管理] - [コネクタとトークン] - [パートナーコンプライアンス管理] - [+コンプライアンスパートナーの追加] をクリックします。

3. [コンプライアンスパートナー] と [プラットフォーム] を選択し、[次へ] をクリックします。

※ OS ごとに 1 つのサードパーティ MDM のみ利用可能です。1 つの OS で複数のサードパーティ MDM を連携させることはできません。

4. [組み込まれたグループ] にテスト対象となるユーザーが含まれるグループを追加して、[次へ] をクリックします。

5.設定内容を確認し、[作成] します。

6.コンプライアンスパートナー設定が作成されます。サードパーティ MDM 側の連携設定が完了していないため、パートナーの状態は [アクティブ化の保留中] となります。


Azure AD 条件付きアクセス設定

Azure AD 条件付きアクセスにて、デバイスが準拠している場合にのみアクセスを許可するポリシーを作成します。
※ 本記事では Azure AD 条件付きアクセス設定のユーザー割り当てやクラウドアプリの指定など、詳細な手順は割愛します。

サードパーティ MDM の設定 (SOTI MobiControl)

SOTI MobiControl の管理画面上での設定について記載します。 既存で利用されているサードパーティ MDM の登録設定については実装済みの前提で設定を行うことから、SOTI MobiControl にデバイスを登録するために必要な設定は割愛します。
~参考URL~
Microsoft 365 Integration - Conditional Access (soti.net)

Microsoft 365 連携 (SOTI MobiControl を Intune に接続)

SOTI MobiControl 上で Intune への接続設定を行います。


1. Azure AD 管理センターにサインインし、連携設定に必要な Azure AD テナント ID を確認します。

2. SOTI MobiControl の管理画面左上にあるハンバーガーメニューから [システム中枢の設定] - [サービス] - [Microsoft 365] をクリックします。

3. Microsoft 365 画面にて、[認証情報の追加] をクリックします。

4. 認証情報を追加する画面にて、任意の名前と事前に確認した Azure AD テナント ID を入力し、保存します。

5. Microsoft へのサインインが求められますので、表示された画面に従い、Azure AD のグローバル管理者権限を持つアカウントでサインインを行います。


6. サインイン完了後、SOTI MobiControl アプリへのアクセス許可が求められるため、[承諾] をクリックすると Microsoft 365 への接続が完了します。

7. Microsoft 365 画面に戻りましたら、[同期] をクリックし、アカウントステータスが [ライセンス使用中] に変わったことを確認後、[OK] をクリックします。


アプリ配布 (Authenticator と Office アプリ)

Azure AD にサードパーティ MDM で管理されたデバイスを登録するためには、Authenticator および Office アプリが必要となるため、サードパーティ MDM 側でアプリの配布設定を行います。


1. SOTI MobiControl の管理画面左上にあるハンバーガーメニューから [ポリシー] - [アプリ] - [+新しいアプリポリシー] をクリックし、Authenticator と Office アプリを対象端末に配布する設定を行います。

※ Authenticator と Office アプリの選択と配布対象とする端末の手順は割愛します。


コンプライアンスポリシー設定

SOTI MobiControl では、Intune デバイス コンプライアンス パートナー機能を利用するためにデバイスモードがライセンス使用中でないことを非準拠条件に指定することが必須となりますが、日本語の画面では設定できないため、英語の画面に変更してから作業を実施します。
[デバイスモードがライセンス使用中でない] とは、コンプライアンスポリシーの非準拠条件の設定にて、[Device Mode ≠ Active] を指定することを意味します。

1. SOTI MobiControl 画面右上のアカウントから [プリファレンス] を選択し、言語を [English] に変更します。

2. SOTI MobiControl の管理画面左上にあるハンバーガーメニューから [Policies] - [Compliance] - [+NEW COMPLIANCE POLICY] をクリックします。

3. Android を選択します。

4. ポリシー名を入力し、[NEXT] をクリックします。

5. [NON-COMPLIANT CRITERIA] に [Device Mode ≠ Active] を追加し [+] をクリックします。

6. [Action Type] に [Set Azure Conditional Access] をセットし、[← Add New Action] をクリックします。

7. [SAVE and ASSIGN] をクリックします。

8. 対象端末が含まれるデバイスグループを選択し、[ASSIGN] をクリックします。


サードパーティ MDM 管理端末の Azure AD 登録

Office アプリを起動してサインインを行うことで、Authenticator アプリが自動起動し、Azure AD にデバイス情報が登録されます。


準拠状態の判定による条件付きアクセスでのブロック

ここまでの設定で、Intune デバイスコンプライアンス機能を利用する準備が整い、SOTI MobiControl で判定された準拠状態が Azure AD に登録されたデバイスに連携されている状態となります。 Azure AD 上に登録されたデバイスのコンプライアンスポリシーの準拠状態を基に、非準拠と判定されているデバイスから Azure AD 条件付きアクセスで設定されたアプリにアクセスするとブロックされます。
※ SOTI MobiControl 上で非準拠となっていた場合でも Azure AD 上のデバイスが準拠となっていた場合はアクセスが許可されます。

SOTI MobiControl に登録した非準拠の Android デバイスにて、条件付きアクセスポリシー作成時にて指定した Office アプリに Azure AD ユーザーでサインインすると以下の画面が表示されアクセスがブロックされます。

まとめ

従来であれば、Azure AD 条件付きアクセスの準拠状態判定を利用するためには、Intune へのデバイス登録が必須でした。しかし、Intune デバイス コンプライアンス パートナー機能により、既存 MDM を Intune に移行することなく Azure AD 条件付きアクセスの準拠状態判定を利用することができるようになりました。

Intune および Azure AD Premium P1 を含むライセンスが必要とはなりますが、本社はモバイルデバイスを Intune で管理し、グループ会社はサードパーティ MDM を利用しているような環境で、MDM の移行を行わずにグループ全体で Azure AD 条件付きアクセスの準拠状態判定を利用できることは、企業にとってメリットのあることだと思います。

今回ご紹介させていただいた Intune デバイス コンプライアンス パートナー機能に限らず、Microsoft 365 セキュリティ機能の導入について質問があればお気軽にお問合せください。

「Enterprise Mobility + Security 導入支援サービス」のお問い合わせ

お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録