Contents

リモート ヘルプの条件付きアクセスの設定: ステップバイステップ ガイド

<本文>/images/Setup-Conditional-Access-for-Remote-Help_ftimg.png

このチュートリアルでは、Microsoft Intune と Microsoft Entra でリモート ヘルプの条件付きアクセスを設定する方法を説明します。また、リモート アシスタンス サービスのサービス プリンシパルを作成して、条件付きアクセス ポリシーを割り当てる際にクラウド アプリケーションとして使用できるようにする方法についても説明します。

リモート ヘルプの条件付きアクセスとは、リモート アシスタンス ツールおよびセッションへの安全なアクセスを確保するためのポリシーと制御の実装を指します。私の経験では、このアプローチは、リモート ヘルプを使用して権限のないユーザーがデバイスにアクセスすることを防ぐために、企業環境で一般的に実装されているのを見てきました。

以前のガイドの 1 つで、組織が Intune でリモート ヘルプを有効にして構成する方法を説明しました。条件付きアクセス ポリシーを使用してテナントをプロビジョニングする前に、テナントに対してリモート ヘルプ機能が有効になっていることを確認してください。

/images/PatchMyPC-AppCatalog-725x250-1.jpg Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する

リモート ヘルプの条件付きアクセスを設定する手順

次に、条件付きアクセス用にテナント上でリモート ヘルプ サービスをプロビジョニングする手順を説明します。

ステップ 1: リモート アシスタンス サービスのサービス プリンシパルを作成する

リモート ヘルプの条件付きアクセスを設定するには、まず Microsoft Graph PowerShell モジュールをインストールする必要があります。管理者として PowerShell を起動し、以下のコマンドを実行します。


Install-Module Microsoft.Graph -Scope CurrentUser

コピー


Install-Module

 Microsoft.Graph 

-

Scope CurrentUser


/images/Setup-Conditional-Access-for-Remote-Help-Snap1-1024x573.png リモート ヘルプの条件付きアクセスをセットアップしてください

Connect-MgGraph コマンドを使用して、必要なスコープでサインインします。必要なスコープに同意するには、管理者アカウントでサインインする必要があります。


Connect-MgGraph -Scopes "Application.ReadWrite.All"

コピー


Connect-MgGraph

 

-

Scopes 

"Application.ReadWrite.All"


/images/Setup-Conditional-Access-for-Remote-Help-Snap2-1024x843.png リモート ヘルプの条件付きアクセスをセットアップして

以下のコマンドを実行して、AppId 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2 を使用してリモート アシスタンス サービスのサービス プリンシパルを作成します。


New-MgServicePrincipal -AppId "1dee7b72-b80d-4e56-933d-8b6b04f9a3e2"

コピー


New-MgServicePrincipal

 

-

AppId 

"1dee7b72-b80d-4e56-933d-8b6b04f9a3e2"


コマンド出力では、表示名は Remote Assistance Service で、これはリモート ヘルプのバックエンド サービスです。この ID は、リモート アシスタンス サービスのアプリ ID に対応します。

/images/Setup-Conditional-Access-for-Remote-Help-Snap3-1024x497.png リモート アシスタンス サービスのサービス プリンシパルを作成する

最後に、Disconnect-MgGraph コマンドを使用してサインアウトします。


Disconnect-MgGraph

コピー


Disconnect-MgGraph


ステップ 2: リモート アシスタンス サービス アプリの登録を確認する

リモート アシスタンス サービスのサービス プリンシパルを作成すると、Microsoft Entra でそのアプリの登録を確認できます。 Microsoft Entra 管理センターにサインインし、エンタープライズ アプリケーションに移動します。検索バーを使用してリモート アシスタンス サービスを見つけます。オブジェクト ID とアプリケーション ID が、上記の手順で示した New-MgServicePrincipal コマンド出力と一致していることを確認します。

/images/Verify-Remote-Assistance-Service-App-in-Entra-1024x558.png リモート アシスタンス サービス アプリの登録を確認してください

ステップ 3: リモート ヘルプの条件付きアクセス ポリシーを作成する

この手順では、Intune でリモート ヘルプの条件付きアクセス ポリシーを作成する方法を説明します。まず、Intune 管理センターにサインインします。 デバイス > 条件付きアクセス を選択し、新しいポリシーの作成 をクリックします。

条件付きアクセス ポリシー ページで、次を指定します。

  1. ポリシー名: リモート ヘルプの条件付きアクセスなどのポリシー名を指定します。

  2. ユーザー: このポリシーの対象となる Entra ユーザー/グループを選択します。この割り当てには、すべてのユーザー、特定のユーザー グループ、ディレクトリ ロール、または外部ゲスト ユーザーを含めることができます。

  3. ターゲット リソース: ターゲット リソース をクリックし、リソース (旧称クラウド アプリ) を選択して、このポリシーの適用対象を指定します。 リソースの選択 で、アプリ ID が 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2 の RemoteAssistanceService を検索して含めます。

  4. ネットワーク: 条件付きアクセス ポリシーを決定するために、IP アドレス、地域、および Global Secure Access 準拠のネットワークを指定します。

  5. 条件: これはオプションです。ポリシーの決定を改善するために 1 つ以上のシグナルを使用できます。

  6. ポリシーを有効にする: このポリシーを少数のユーザーに対してテストする場合は、「レポートのみ」を選択します。ポリシーがすでに正常にテストされている場合は、「オン」を選択してポリシーをアクティブ化します。

追加の構成はオプションであり、組織のニーズに基づいてセットアップできます。それ以外の場合は、作成 ボタンをクリックして条件付きポリシーを作成します。

/images/Create-a-Conditional-Access-Policy-for-Remote-Help-1024x630.png Intune でリモート ヘルプの条件付きアクセス ポリシーを作成する

リモート ヘルプの条件付きアクセスは、Microsoft Entra を使用して構成することもできます。その方法を説明しましょう。まず、Microsoft Entra 管理センターにサインインします。 Entra ID > 条件付きアクセス を選択し、新しいポリシーの作成 を選択します。

ここに表示されるオプションは、Intune のオプションと似ています。ポリシー名を入力し、「ターゲットリソース」をクリックして、「RemoteAssistanceService」リソースを選択します。このポリシーを適用するユーザーまたはグループを選択し、「作成」をクリックします。

/images/Create-a-Remote-Help-Conditional-Access-Policy-in-Microsoft-Entra-Admin-Center-1024x596.png Microsoft Entra Admin Center でリモート ヘルプの条件付きアクセス ポリシーを作成する

結論

リモート ヘルプに条件付きアクセス (CA) ポリシーを適用すると、組織は特定のセキュリティ要件を強制して、承認されたユーザーのみがリモート ヘルプ サービスを使用できるようにすることができます。ポリシーが組織の要件に従って構成されていることを確認してください。最初はパイロット グループのユーザーに適用し、テストが成功したことが証明されたら、段階的により大きなユーザー ベースに展開します。

このガイドは以上です。ご質問がございましたら、コメント欄にお知らせください。

まだサポートが必要ですか?

上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。

フォーラム

電報

連絡してください

*️⃣ 出典リンク:

リモート ヘルプの条件付きアクセス、Intune でリモート ヘルプを有効にして構成する、/images/PatchMyPC-AppCatalog-725x250-1.jpg、Microsoft Graph PowerShell モジュールをインストールする、Microsoft Entra 管理センター]( https://entra.microsoft.com/)、特定のセキュリティ要件、

フォーラム

電報

連絡してください