条件付きアクセスにデバイスフィルタールールを組めるようになりました!(プレビュー)
今までの条件付きアクセスといえば、ユーザー単位/OS単位等でアクセス制限が可能でした。
そのため、1人のユーザーが同一OSのデバイスを複数台所持している際に、デバイスごとの制御ができませんでした。(PC①はアクセスブロック、PC②は多要素認証を要求など、条件を分けることができませんでした)
今回プレビューリリースされたデバイスフィルタールールを使うことで、デバイスごとのアクセス制限が可能となります!
参考URL:条件付きアクセス ポリシーの条件としてのデバイスのフィルター – Azure Active Directory | Microsoft Docs
デバイスフィルター 使い方
条件付きアクセスの設定をしたことがある方なら、追加の設定するだけでデバイスフィルターを利用することができます。
ここでは例として、以下シナリオでデバイスフィルターを実装します。
- 対象ユーザー :任意のユーザー
- 対象アプリ :SharePoint
- PC名に「Exc (Exclusion:除外)」がついている場合は制御対象外とする
- 制御対象はアクセスをブロックする
条件付きアクセス作成方法
「3」を除いて、条件付きアクセスの作成方法は従来と同じです。SharePoint に対してアクセスブロックを行うには以下の通り設定を行います。
① 以下URLから条件付きアクセスのポリシーを作成
条件付きアクセス – Microsoft Azure
② SharePoint に対してアクセスブロックを行う条件を作成
ここから、デバイスフィルターの設定を追加します。
③ 割り当て欄の [条件]-[デバイスのフィルター(プレビュー)] をクリックします。
④「デバイスのフィルター(プレビュー)」画面からルールを構成します。今回のシナリオでは、[Exc] がついているデバイスは制御対象外とするため以下画面の設定になります。
【参考】プロパティや演算子は多数から選択可能です。また「AND / OR」条件の両方を指定可能です。
以上を保存すればポリシーの作成は完了です。
制御結果
同じユーザー名で SharePoint にアクセスした結果です。デバイス名に [Exc] がついていると問題なく SharePoint にアクセスできる結果となりました。
弊社が構築を行わせていただく中で、「基本はブロックしたいけれど、このデバイスだけは制限を軽くしたい!」といった声をよく聞きます。この機能を使えばその要望を実現することも可能です。
ほかの条件付きアクセスルールを踏まえて制御をしてほしいなど、弊社での対応をご希望でしたらお気軽にお問い合わせくださいませ。