Contents

条件付きアクセス ポリシーを使用して Microsoft 365 アプリをブロックする

<本文>/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy_ftimg.png

このガイドでは、条件付きアクセス ポリシーを使用して Microsoft 365 アプリをブロックする方法を学習します。これにより、管理されていないデバイスや BYOD デバイスからの不正アクセスが防止され、Teams、OneDrive、SharePoint online、Exchange Online、Outlook などのアプリケーションにアクセスするには、Intune に登録されているデバイスまたは準拠デバイスが必要になります。

条件付きアクセス ポリシーを使用すると、管理者は特定のアプリケーション、サービス、アクション、または認証コンテキストにコントロールを割り当てることができます。たとえば、M365 アプリ スイート全体、または Office 365 Exchange online、SharePoint Online などの個々のアプリケーションへのアクセスを、特定のグループのセットに制限できます。ポリシーの使用法の別の例については、「Intune でリモート ヘルプの条件付きアクセスを構成する」ガイドで説明しています。

組織は条件付きアクセス ポリシーを活用して適切なアクセス制御を適用し、生産性を中断することなく組織の安全性を確保できます。導入前に、要件を徹底的に評価し、組織のニーズに合わせてポリシーを慎重に設計します。さあ始めましょう。

/images/PatchMyPC-AppCatalog-725x250-1.jpg Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する

前提条件

ユーザーが Microsoft 365 アプリにアクセスできないように効果的にブロックするには、次の要件を満たす必要があります。これらの前提条件については、Microsoft のドキュメントにも概要が記載されています。

  1. Microsoft Entra ID P1、P2、または試用版ライセンスが有効になっている、動作中の Microsoft Entra テナント。

  2. 条件付きアクセスを操作する管理者には、次のいずれかの役割の割り当てが必要です。

  • セキュリティ リーダー: 条件付きアクセスのポリシーと構成を読み取ります。
  • 条件付きアクセス管理者: 論理的に削除された条件付きアクセス ポリシーを作成、変更、または復元します。
  1. Windows デバイスは、有効なライセンスが割り当てられた Microsoft Entra ID に登録する必要があります。

  2. 条件付きアクセス ポリシーの機能を評価するためのテスト ユーザーまたはデバイスで構成されるパイロット グループを作成します。ポリシーが正常に機能する場合は、他のグループに拡張できます。

ベストプラクティス

  1. Microsoft では、条件付きアクセス ポリシーを作成する際、ポリシーの構成ミスによるロックアウトを防ぐために、緊急アクセス アカウントまたは非常用アカウントを除外することをお勧めします。すべての管理者が予期せずロックアウトされた場合、緊急アクセス管理アカウントを使用してサインインし、アクセスを復元できます。

  2. M365 アプリをブロックするように条件付きアクセス ポリシーを構成した後、ポリシーの状態をレポート専用モードに設定します。これにより、管理者はほとんどの条件付きアクセス ポリシーを完全に有効にする前にテストできるようになります。ポリシーが意図したとおりに機能していることを確認したら、状態をレポート専用モードからオン モードに切り替えます。

  3. 多くの Microsoft 365 アプリは相互に依存しています。たとえば、SharePoint をブロックすると、Microsoft Teams の「ファイル」タブの機能が中断される可能性があります。このような問題を回避するには、個々のアプリに焦点を当てるのではなく、Office 365 スイート全体を管理 (ブロックまたは許可) することをお勧めします。

  4. 特定の Microsoft 管理ポータルをブロックすると、ユーザーが自己インストール ページにアクセスできなくなる可能性があるので、このポリシーを慎重にテストしてください。

条件付きアクセス ポリシーを使用して Microsoft 365 アプリをブロックする

条件付きアクセスは、主に Microsoft Entra 管理センターで構成されます。条件付きアクセス ポリシーの作成には複数の手順が関係しており、それらの手順を以下に定義します。

ステップ 1: ポリシーの作成

Microsoft Entra で Microsoft 365 アプリをブロックするための新しい条件付きアクセス ポリシーを作成しましょう。

  • 条件付きアクセス管理者または全体管理者として Microsoft Entra 管理センターにサインインします。
  • ID 保護 > リスクベースの条件付きアクセス > ポリシー を参照します。
  • 新しい条件付きアクセス ポリシーを作成するには、新しいポリシー を選択します。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap1-1024x745.png Microsoft Entra で条件付きアクセス ポリシーを作成する

ステップ 2: ポリシー割り当てを定義する

ポリシー名を指定します。たとえば、Windows ユーザーに対して M365 アプリをブロックします。 割り当て で、 ユーザーまたはエージェント を選択し、 含める タブに切り替えます。ここで、このポリシーを対象とする Entra ユーザー/グループを追加します。 除外 タブに切り替えて、緊急アクセス アカウントまたは非常用アカウントを追加して、ポリシーの構成ミスによるロックアウトを防ぎます。

以下の例では、ポリシーはすべてのユーザーではなく Windows パイロット グループを対象としています。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap2-1024x816.png Microsoft 365 アプリをブロックする条件付きアクセス ポリシーを作成する

ステップ 3: ターゲット リソースの指定

ターゲット リソース > リソース (以前のクラウド アプリ) で、 含める タブにある リソースの選択 をクリックします。次に、「特定のリソースを選択」をクリックします。 リソース ウィンドウには、許可またはブロックを選択できる Microsoft 365 アプリケーションが一覧表示されます。

組織の要件に基づいて、すべての Office 365 アプリをブロックすることも、スイート内の特定のアプリをブロックすることもできます。両方のオプションについては以下で説明します。

すべての Microsoft 365 アプリをブロックする: Microsoft 365 スイートに含まれるすべてのアプリをブロックする場合は、Office 365 アプリ を選択します。これは、従業員による Microsoft 365 アプリケーションへのアクセスを制限したい場合に役立ちます。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap3-1024x775.png Microsoft 365 アプリをブロックする条件付きアクセス ポリシーを作成する

個々の Microsoft 365 アプリをブロックする: M365 スイート内の特定のアプリを制限するには、このオプションを選択します。たとえば、Office 365 Exchange Online、OneDrive、Outlook、Office 365 Zoom、Office 365 SharePoint Online などのアプリをブロックできます。

注: 一部のアプリを選択すると、「条件付きアクセスではリソースがサポートされていません」というメッセージが表示される場合があります。これは単に、条件付きアクセス ポリシーに含めることができないことを意味します。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap11-1024x721.png 条件付きアクセス ポリシーを介して個々の Microsoft 365 アプリをブロックする

ステップ 4: デバイス プラットフォームを定義する

特定のデバイス プラットフォームの Microsoft 365 アプリへのアクセスをブロックできます。条件付きアクセスは、ユーザー エージェント文字列など、デバイスによって提供される情報を使用してデバイス プラットフォームを識別します。

条件 で、デバイス プラットフォームを選択します。設定するには、はい を選択し、含める タブで、ポリシーを適用するデバイス プラットフォームを選択します。たとえば、この条件付きアクセス ポリシーを適用するために Windows と macOS を選択しました。 「完了」を選択し、次の構成に進みます。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap4-1024x847.png 条件付きアクセス ポリシーを使用して Microsoft 365 アプリをブロックする

ステップ 5: クライアント アプリの選択

デバイス プラットフォームを選択したら、クライアント アプリを選択します。 はい をクリックしてこの設定を構成し、このポリシーを適用するクライアント アプリを選択します。最新の認証クライアントの下に 2 つのオプションが表示されます。

  1. ブラウザー: ブラウザー経由の Microsoft 365 アプリへのアクセスをブロックするには、このオプションを選択します。

  2. モバイル アプリとデスクトップ クライアント: モバイル アプリとデスクトップ クライアントで Microsoft 365 アプリへのアクセスをブロックするには、このオプションを選択します。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap5-1024x829.png クライアント アプリ – 条件付きアクセス ポリシー

ステップ 6: M365 アプリへのアクセスをブロックする

条件付きアクセス ポリシーでは、管理者はアクセス制御を使用して、リソースへのアクセスを許可またはブロックできます。 アクセス制御 で 許可 を選択すると、M365 アプリへのアクセスをブロックまたは許可するアクセス強制を制御できます。 アクセスをブロックする を選択すると、ユーザーは上記の手順で選択した Microsoft 365 アプリへのアクセスが制限されます。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap6-1024x864.png 条件付きアクセス ポリシー Microsoft 365 アプリを許可またはブロックするためのアクセスを許可する

ステップ 7: ポリシーを有効にする

ポリシー設定を構成したら、最後のステップはポリシーを有効にすることです。まず、ポリシーの有効化 トグルを レポートのみ に設定します。これにより、Microsoft Entra サインイン ログを実際にブロックせずに、誰が影響を受けるかを確認できます。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap7-1024x945.png 条件付きアクセス: ポリシーを有効にする

レポート専用モードを使用して設定を確認した後、ポリシーの有効化トグルをレポート専用からオンに移動します。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap8-1024x870.png 条件付きアクセス ポリシーを有効にして Microsoft 365 アプリをブロックする

エンドユーザーエクスペリエンス

この最後のセクションでは、上記の条件付きアクセス ポリシーがポリシーで定義されているように Microsoft 365 アプリをブロックするかどうかをテストしてみましょう。これを行うには、Web ブラウザーとデスクトップ クライアントを介して Microsoft 365 アプリにアクセスします。

職場アカウントを使用して Windows 11 PC にサインインします。 Web ブラウザを起動し、Web 上の Microsoft Teams または Outlook Web にアクセスします。数秒以内に、条件付きアクセス ポリシーにより、次の詳細を示すエラー メッセージが画面に表示されます。

現在、これにアクセスすることはできません。サインインは成功しましたが、このリソースにアクセスするための条件を満たしていません。たとえば、管理者によって制限されているブラウザー、アプリ、または場所からサインインしている可能性があります。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap9-1024x875.png エンド ユーザー エクスペリエンス – Microsoft 365 アプリのアクセスがブロックされました

上記の条件付きアクセス ポリシーがデスクトップ クライアントにも適用されているかどうかを確認するには、Teams デスクトップ アプリを開くと、次のエラーが表示されます。

再度サインインする必要があります。これは、IT 部門や Teams からの要求、またはパスワード更新の結果である可能性があります。

/images/Block-Microsoft-365-Apps-using-Conditional-Access-Policy-Snap10-1024x972.png エンド ユーザー エクスペリエンス – Microsoft Teams アプリへのアクセスがブロックされました

上記の画像とエラーの詳細は、条件付きアクセス ポリシーが Web ブラウザー、モバイル アプリケーション、デスクトップ クライアント全体で Microsoft 365 アプリへのアクセスを正常に制限していることを確認しています。

結論

このガイドでは、管理者が Microsoft Entra で条件付きアクセス ポリシーを設定して、ユーザーの Microsoft 365 アプリへのアクセスを制限する方法を説明しました。ポリシーが組織の要件に従って構成されていることを確認してください。管理者はいつでもポリシーを編集し、必要な変更を加えることができます。最初はパイロット グループのユーザーに適用し、テストが成功したことが証明されたら、段階的により大きなユーザー ベースに展開します。

このガイドは以上です。ご質問がございましたら、コメント欄にお知らせください。

/images/buymeacoffeewidget.jpg あなたのサポートが必要です

やあ、プラジワルです。このサイトがお役に立てば幸いです。独立したブロガーとして、私が公開するコンテンツには多大な努力と献身が必要です 💻。広告ブロッカーと AI #️⃣ の台頭により、過去 10 年間にわたってオンライン パブリッシャーは大幅な収益損失を引き起こしました ⏰。このような独立した仕事を大切にしているのであれば、私が好きなことを続けられるように貢献することを検討してください。ありがとう❤️🙌

サポート💖

まだサポートが必要ですか?

上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。

フォーラム

電報

連絡してください

*️⃣ 出典リンク:

条件付きアクセス ポリシー 、Intune のリモート ヘルプの条件付きアクセスを構成する、 /images/PatchMyPC-AppCatalog-725x250-1.jpgMicrosoft ドキュメントレポート専用モードMicrosoft Entra 管理センターWeb 上の Microsoft Teams にアクセスOutlook Web 、Teams デスクトップ アプリ、

サポート💖

フォーラム

電報

連絡してください