リモート ヘルプの条件付きアクセスの設定: ステップバイステップ ガイド
<本文>
このチュートリアルでは、Microsoft Intune と Microsoft Entra でリモート ヘルプの条件付きアクセスを設定する方法を説明します。また、リモート アシスタンス サービスのサービス プリンシパルを作成して、条件付きアクセス ポリシーを割り当てる際にクラウド アプリケーションとして使用できるようにする方法についても説明します。
リモート ヘルプの条件付きアクセスとは、リモート アシスタンス ツールおよびセッションへの安全なアクセスを確保するためのポリシーと制御の実装を指します。私の経験では、このアプローチは、リモート ヘルプを使用して権限のないユーザーがデバイスにアクセスすることを防ぐために、企業環境で一般的に実装されているのを見てきました。
以前のガイドの 1 つで、組織が Intune でリモート ヘルプを有効にして構成する方法を説明しました。条件付きアクセス ポリシーを使用してテナントをプロビジョニングする前に、テナントに対してリモート ヘルプ機能が有効になっていることを確認してください。
Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する
リモート ヘルプの条件付きアクセスを設定する手順
次に、条件付きアクセス用にテナント上でリモート ヘルプ サービスをプロビジョニングする手順を説明します。
ステップ 1: リモート アシスタンス サービスのサービス プリンシパルを作成する
リモート ヘルプの条件付きアクセスを設定するには、まず Microsoft Graph PowerShell モジュールをインストールする必要があります。管理者として PowerShell を起動し、以下のコマンドを実行します。
Install-Module Microsoft.Graph -Scope CurrentUser
コピー
Install-Module
Microsoft.Graph
-
Scope CurrentUser
リモート ヘルプの条件付きアクセスをセットアップしてください
Connect-MgGraph コマンドを使用して、必要なスコープでサインインします。必要なスコープに同意するには、管理者アカウントでサインインする必要があります。
Connect-MgGraph -Scopes "Application.ReadWrite.All"
コピー
Connect-MgGraph
-
Scopes
"Application.ReadWrite.All"
リモート ヘルプの条件付きアクセスをセットアップして
以下のコマンドを実行して、AppId 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2 を使用してリモート アシスタンス サービスのサービス プリンシパルを作成します。
New-MgServicePrincipal -AppId "1dee7b72-b80d-4e56-933d-8b6b04f9a3e2"
コピー
New-MgServicePrincipal
-
AppId
"1dee7b72-b80d-4e56-933d-8b6b04f9a3e2"
コマンド出力では、表示名は Remote Assistance Service で、これはリモート ヘルプのバックエンド サービスです。この ID は、リモート アシスタンス サービスのアプリ ID に対応します。
リモート アシスタンス サービスのサービス プリンシパルを作成する
最後に、Disconnect-MgGraph コマンドを使用してサインアウトします。
Disconnect-MgGraph
コピー
Disconnect-MgGraph
ステップ 2: リモート アシスタンス サービス アプリの登録を確認する
リモート アシスタンス サービスのサービス プリンシパルを作成すると、Microsoft Entra でそのアプリの登録を確認できます。 Microsoft Entra 管理センターにサインインし、エンタープライズ アプリケーションに移動します。検索バーを使用してリモート アシスタンス サービスを見つけます。オブジェクト ID とアプリケーション ID が、上記の手順で示した New-MgServicePrincipal コマンド出力と一致していることを確認します。
リモート アシスタンス サービス アプリの登録を確認してください
ステップ 3: リモート ヘルプの条件付きアクセス ポリシーを作成する
この手順では、Intune でリモート ヘルプの条件付きアクセス ポリシーを作成する方法を説明します。まず、Intune 管理センターにサインインします。 デバイス > 条件付きアクセス を選択し、新しいポリシーの作成 をクリックします。
条件付きアクセス ポリシー ページで、次を指定します。
-
ポリシー名: リモート ヘルプの条件付きアクセスなどのポリシー名を指定します。
-
ユーザー: このポリシーの対象となる Entra ユーザー/グループを選択します。この割り当てには、すべてのユーザー、特定のユーザー グループ、ディレクトリ ロール、または外部ゲスト ユーザーを含めることができます。
-
ターゲット リソース: ターゲット リソース をクリックし、リソース (旧称クラウド アプリ) を選択して、このポリシーの適用対象を指定します。 リソースの選択 で、アプリ ID が 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2 の RemoteAssistanceService を検索して含めます。
-
ネットワーク: 条件付きアクセス ポリシーを決定するために、IP アドレス、地域、および Global Secure Access 準拠のネットワークを指定します。
-
条件: これはオプションです。ポリシーの決定を改善するために 1 つ以上のシグナルを使用できます。
-
ポリシーを有効にする: このポリシーを少数のユーザーに対してテストする場合は、「レポートのみ」を選択します。ポリシーがすでに正常にテストされている場合は、「オン」を選択してポリシーをアクティブ化します。
追加の構成はオプションであり、組織のニーズに基づいてセットアップできます。それ以外の場合は、作成 ボタンをクリックして条件付きポリシーを作成します。
Intune でリモート ヘルプの条件付きアクセス ポリシーを作成する
リモート ヘルプの条件付きアクセスは、Microsoft Entra を使用して構成することもできます。その方法を説明しましょう。まず、Microsoft Entra 管理センターにサインインします。 Entra ID > 条件付きアクセス を選択し、新しいポリシーの作成 を選択します。
ここに表示されるオプションは、Intune のオプションと似ています。ポリシー名を入力し、「ターゲットリソース」をクリックして、「RemoteAssistanceService」リソースを選択します。このポリシーを適用するユーザーまたはグループを選択し、「作成」をクリックします。
Microsoft Entra Admin Center でリモート ヘルプの条件付きアクセス ポリシーを作成する
結論
リモート ヘルプに条件付きアクセス (CA) ポリシーを適用すると、組織は特定のセキュリティ要件を強制して、承認されたユーザーのみがリモート ヘルプ サービスを使用できるようにすることができます。ポリシーが組織の要件に従って構成されていることを確認してください。最初はパイロット グループのユーザーに適用し、テストが成功したことが証明されたら、段階的により大きなユーザー ベースに展開します。
このガイドは以上です。ご質問がございましたら、コメント欄にお知らせください。
まだサポートが必要ですか?
上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。
フォーラム
電報
連絡してください
*️⃣ 出典リンク:
リモート ヘルプの条件付きアクセス、Intune でリモート ヘルプを有効にして構成する、
、Microsoft Graph PowerShell モジュールをインストールする、Microsoft Entra 管理センター](
https://entra.microsoft.com/)、特定のセキュリティ要件、
フォーラム
、 電報、
連絡してください
、