ユニバーサル条件付きアクセスポリシーとは
通常の条件付きアクセスは、Entraがアクセストークンを払い出すときに適用されます。
しかしながら、ユニバーサル条件付きアクセスは、「GSAを利用している環境におけるトラヒック自体」に対して適用イメージとなります。
ターゲットリソースに依存
以下赤枠を選択した場合に、GSAのMicrosoft トラヒックとインターネットアクセスプロファイルとリンクされ、ユニバーサル条件付きアクセスポリシーという位置づけになります。
リンクされているかは、GSA設定画面の以下赤枠部分で確認できます。
仕様的に厄介(わかりにくい)なのは、一度ここでリンクされると、その後に条件付きアクセスポリシーの設定においてターゲットリソースを「グローバルセキュアアクセスを使ったインターネットリソース」から別のものに変更しても、この「リンクされた条件付きアクセスポリシー」上には、当該条件付きアクセスポリシーは残り続けてしまいます(ターゲットリソースが「グローバルセキュアアクセスを使ったインターネットリソース」ではないので、ユニバーサル条件付きアクセスポリシーという位置づけではなくなります)
リンクされた条件付きアクセスポリシー≒ユニバーサル条件付きアクセスポリシー
リンクされた条件付きアクセスポリシー=過去に一度でもユニバーサル条件付きアクセスポリシーだったことがある条件付きアクセスポリシー
と理解するのが正しそうです。
ユニバーサル条件付きアクセスポリシーはターゲットリソースに応じた細かな設定ができない
前述の通り、ユニバーサル条件付きアクセスポリシーは、以下の設定項目を選択した場合に成立します。
以下図の赤枠記載の通り、GSAを使ったインターネットアクセスすべてが対象となります。