Azure AD 条件付きアクセスにおけるデバイスフィルタ

2023年6月13日

デバイスフィルタのニーズが出たので調査しました。intuneを使わなくてもある程度のデバイス制御が可能になります。

用途(一例)

社給端末のみをM365にアクセスさせたい といったようにデバイス制限をかける際に使える

条件付きアクセス設定

デバイスフィルタにより社給端末以外の端末のM365へのアクセスをブロックとする という設定

注意点

・ブラウザからM365にアクセスするとデバイスフィルタが機能しないことがある

・たとえば、社給端末のみをM365にアクセス許可という条件付きアクセスが設定されているシナリオで、社給端末がブラウザからM365にアクセスするとデバイスフィルタが機能せずに、社給端末だと認識されず、アクセスがブロックされるとう事象が起こる(場合がある)

 ・edgeの最新版であれば、デバイスフィルタ機能する

 ・chromeは、拡張機能をインストールすればデバイスフィルタ機能する

 ・safari、firefoxだと色々制約あり

・スマホやタブレットであれば、ブラウザからM365にアクセスするようなケースは少ない(teamsアプリなどのアプリを使うケースがほとんど)と思われるので、ブラウザを使わないのが無難

デバイスフィルタに使える識別子

・デバイスID or  AzureAD参加/登録 ※デバイスIDは、端末をAAD参加/登録させることでAAD上で付与されるID

・デバイスIDをデバイスフィルタに使用すると、デバイスが増えるたびに、都度条件付きアクセスの設定をしなくてはいけない

・AzureAD参加/登録されている端末をデバイスフィルタに使用すると、デバイスが増える際に条件付きアクセスの設定変更は不要(運用が楽) ただし、テナントで、「ユーザが自由に端末をAAD参加/登録させられないような設定」が必要(ユーザが勝手に端末をAAD参加/登録させられたら、社給端末という制限がかけられないため)

【追記】「ユーザが自由に端末をAAD参加/登録させられないような設定」この設定をするとグローバル管理者含めて誰も、端末をAAD参加/登録させられなくなってしまう。端末を追加する度に、この「ユーザが自由に端末をAAD参加/登録させられないような設定」を外す必要があるので、運用は楽ではない

ブラウザについての補足

以下の通りMSの方から回答をいただきました。ややこしいのでブラウザは使わないのが無難かも(諸条件が多すぎる)

▼ デバイスのフィルターによる判定を利用できる環境
OS ごとのサポートされているブラウザーにつきまして、公開情報から抜粋してご案内いたします。
~~~ 抜粋 ~~~
サポートされているブラウザー
この設定は、すべてのブラウザーで動作します。 ただし、デバイス ポリシーを満たすため、準拠デバイスの要件と同様に、次のオペレーティング システムとブラウザーがサポートされています。 メインストリーム サポートから外されたオペレーティング システムとブラウザーは、この一覧に表示されていません。
オペレーティング システム ブラウザー
Windows 10 以上 Microsoft Edge、Chrome、Firefox 91 以上

Windows Server 2022 Microsoft Edge、Chrome

Windows Server 2019 Microsoft Edge、Chrome

iOS Microsoft Edge、Safari (注釈を参照)
Android Microsoft Edge、Chrome
macOS Microsoft Edge、Chrome、Safari
これらのブラウザーはデバイス認証をサポートしており、デバイスを識別してポリシーで検証することができます。 ブラウザーがプライベート モードで実行されている場合、または Cookie が無効になっている場合、デバイスのチェックは失敗します。

注意
Edge 85+ の場合、デバイス ID を適切に渡すには、ユーザーがブラウザーにサインインする必要があります。 そうしない場合、アカウントの拡張機能のない Chrome のように動作します。 Hybrid Azure AD Join シナリオでは、このサインインが自動的に行われないことがあります。
Safari はマネージド デバイスにおいてデバイスベースの条件付きアクセスでサポートされていますが、承認済みクライアント アプリを必須にするまたはアプリの保護ポリシーを必須にする条件を満たすことができません。 Microsoft Edge のような管理対象ブラウザーは、承認済みクライアント アプリとアプリ保護ポリシーの要件を満たしています。 サード パーティ製 MDM ソリューションを使用する iOS では、Microsoft Edge ブラウザーのみがデバイス ポリシーをサポートします。
Firefox 91+ は、デバイスベースの条件付きアクセスでサポートされていますが、[Microsoft、職場、学校のアカウントに対して Windows シングル サインオンを許可する] を有効にする必要があります。

ブラウザーに証明書のプロンプトが表示される理由
Windows 7、iOS、Android、および macOS では、Azure AD によって、デバイスが Azure AD に登録されるときにプロビジョニングされたクライアント証明書を使用してデバイスが識別されます。 ユーザーは、ブラウザーで最初にサインインするときに、証明書の選択を求められます。 ユーザーは、ブラウザーを使用する前に、この証明書を選択する必要があります。

Chrome のサポート
Windows 10 Creators Update (バージョン 1703) 以降で Chrome をサポートするには、Windows Accounts または Office の拡張機能をインストールします。 条件付きアクセス ポリシーでデバイス固有の詳細が必要な場合は、これらの拡張機能が必要です。

抜粋元: 条件付きアクセス ポリシーの条件 – Microsoft Entra | Microsoft Learn
https://learn.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-conditional-access-conditions#supported-browsers
~~~~~~~~~