企業において、私用端末(BYOD)の抑止を実現したい場合、Microsoft Intune(以下、Intune)にてデバイスベースの条件付きアクセス設定を利用する方法が考えられます。
この機能を利用する場合、当然ですが、Intuneライセンスが必要になります。
一方で、Microsoft Entra ID P1ライセンス(旧名:Azure AD Premium P1)でも、Entra上のデバイス登録機能は利用が可能です。
「Intuneライセンスは所有していないがMicrosoft Entra ID P1ライセンスはある」という環境でも、Entra上のデバイス登録機能が利用できるのであれば、デバイスベースの条件付きアクセス設定を試みることが出来るのではないかと考え、検証してみました。
本記事では、Microsoft Entra ID P1ライセンスのみ所持している環境における、Entra上のデバイス情報を使用した条件付きアクセス許可について解説します。
※ 検証したプラットフォームはiPhoneになります。
- やる価値はあるか
- 目指す方向性
- 条件付きアクセスの設定方法
- 動作検証:Microsoft Entra上に登録されているデバイス
- 動作検証:Microsoft Entra上に登録されていないデバイス
- おわりに
やる価値はあるか
Microsoft Entra ID P1機能のみでデバイスに関する条件付きアクセスポリシーを利用する場合、デバイスの条件として利用できるのは「Entra上のデバイス登録有無の確認」までとなります。
私用端末(BYOD)もEntra上に登録すればアクセスは許可されてしまうため、BYODの抑止を目的には使えません。
BYODの抑止の他、デバイスがコンプライアンスポリシーに準拠しているかを確認しアクセス許可を判断させるには、Intuneライセンスが必要です。デバイスの詳細な管理を希望される場合は、Intuneライセンスの導入を前提に要件定義を始める方が費用対効果が高いと考えます。
ただし、Intuneの代替、もしくはIntuneライセンスを購入されるまでの繋ぎとして一定の効果はあるかもしれません。暫定的な対応のため、導入する価値があるかどうかは企業の判断次第です。
なお、今回はiPhoneを使用した方法ですが、クラウドアプリのブラウザ版についてはOS付属のSafariブラウザでは正しく動作せず、Microsoft Edgeを利用する必要があるなど制約事項もありますので、ご注意ください。
目指す方向性
BYODの完全な抑止には使えないものの、繋ぎとしての一定の効果を期待して、「Entra上にデバイス登録されていないiPhoneの場合、クラウドアプリのアクセスを拒否する」という動作を実現する条件付きアクセスポリシーを作成します。
以下のように「現時点ではこれにはアクセスできません」、「サインインは完了しましたが、このリソースへのアクセス条件を満たしていません。たとえば、管理者によって制限されているブラウザー、アプリ、または場所からアクセスしている可能性があります。」の画面を表示させる状態にします。
条件付きアクセスの設定方法
「Microsoft Entra上に登録されていない端末以外はアクセス拒否する」ポリシーを作成します。
条件は2つあります。
1つ目は、「デバイスプラットフォーム」で、対象を任意のデバイス、対象外をWindowsなどEntra上のデバイス登録を条件にしたくないプラットフォームを選択します。この設定により、iPhoneを含む対象外以外のデバイスプラットフォームはポリシーの評価対象にできます。
2つ目は、デバイスのフィルターです。
「フィルター処理されたデバイスをポリシーから除外する」とし、ルール構文を「device.trustType -eq "Workplace"」にすることで、Entra上に登録されているデバイス以外がポリシーの評価対象となります。
動作検証:Microsoft Entra上に登録されているデバイス
まず、「Microsoft Entra上に登録されているデバイス」の挙動を確認します。
デバイスの登録
Microsoft Entra上に登録されているデバイスとするため、iPhone端末にインストールしたAuthenticatorアプリを使ってデバイス登録をします。
左上の三本線をクリックし、[設定]-[デバイスの登録]をクリックします。
[デバイスの登録]をクリックし、認証情報をパスすればMicrosoft Entra 上に登録がされます。
条件付きアクセスポリシーの判定
デバイス登録後、iPhoneで動作確認を行います。
EdgeブラウザであればデバイスIDを取得できるため、以下赤枠の評価条件値「Azure AD registered」が判定されアクセス許可されます。
Safarブラウザについては、デバイスIDを取得できないため、アクセス許可の条件が判定されずブロックする動作となります。
動作検証:Microsoft Entra上に登録されていないデバイス
続いて、「Microsoft Entra上に登録されていないデバイス」の挙動を確認します。
デバイスの削除
Microsoft Entra上に登録されていないデバイスとするため、登録時同様、iPhone端末にインストールしたAuthenticatorアプリを使ってデバイス登録の解除を行います。
ドメインを選択、[デバイスの登録を解除する]、[続行]、[OK]で、Microsoft Entra 上からデバイス情報が削除されます。
条件付きアクセスポリシーの判定
Microsoft Entra上にデバイスが登録されていないため、Edgeブラウザのアクセスでも、デバイスIDが表示されません。アクセス許可の条件が判定されずブロックする動作となります。
おわりに
Entra上に登録されたデバイスのみアクセス許可をする目的は、社給端末のみ利用を許可し、私用端末の利用はさせないことだと考えます。
今回の方法では私用端末の禁止をシステム的に強制することができず、一定の抑止効果を期待するものに留まります。
そのため、「クラウドアプリの利用をするときのみ私用端末にAuthenticatorアプリをインストールし一時的にデバイス登録する」という方法で突破できてしまいます。作業後にEntra上からデバイスを削除してしまえば、監査ログを調査しない限り発覚しないと思います。
本記事の方法を使いつつ常に監視するコストをかけるのか、それとも費用対効果に見合った他のセキュリティ対策を検討すべきか、判断材料の一つとして本記事を書きました。
なお、モバイルアプリについては、私用端末の強制禁止は不可との結論に至り、調査を中断したため、エビデンスがありません。
