BYODから組織のMicrosoft365を安全にご利用いただくための設定ドキュメントです。

1. テクニカルガイド
BYOD ポリシーを使用して安全なリモート作業を行う方法
英国政府のために作成
第 1.0 版最終版
2020/06/26
英国マイクロソフト
日本語版 1.0
2022 年 9 月 4 日
日本マイクロソフト株式会社パブリックセクター事業本部文教営業統括本部

2. 本ドキュメントは 2020 年 6 月 20 日に公開された「How to have secure remote working with a BYOD
policy」の抄訳です。
マイクロソフトは、本書において、明示または黙示を問わず、いかなる保証もいたしません。
適用されるすべての著作権法を遵守することは、ユーザーの責任です。 マイクロソフトの書面による明示的
な許諾がない限り、著作権に基づく権利を制限することなく、本書のいかなる部分も、いかなる形式または手
段 (電子的、機械的、複写、記録、その他) で、あるいはいかなる目的においても、複製、検索システムへの保
存または導入、転送してはならないものとします。マイクロソフトは、本書の主題を対象とする特許、特許出
願、商標、著作権、またはその他の知的財産権を有している場合があります。 マイクロソフトの書面による
ライセンス契約において明示的に規定されている場合を除き、当社が本書を提供することによって、これらの
特許権、商標権、著作権、またはその他の知的財産権に対するライセンスをお客様に供与するものではありま
せん。
本書に他社の製品に関する記述がある場合、それはお客様の便宜のためにのみ提供されるものです。 このよ
うな言及は、マイクロソフトによる推奨またはサポートと見なされるべきではありません。 マイクロソフト
はその正確性を保証することはできませんし、製品は時間の経過とともに変更される可能性があります。ま
た、これらの説明は、完全なカバーではなく、理解を助けるための簡単なハイライトとして意図されていま
す。これらの製品に関する信頼できる説明については、それぞれのメーカーにお問い合わせください。
©2021 Microsoft Corporation. すべての著作権はマイクロソフトに帰属します。マイクロソフトの明示的な
許可なく、これらの資料を使用または配布することは、固く禁じられています。
Microsoft および Windows は、米国 Microsoft Corporation の米国およびその他の国における登録商標また
は商標です。本書に記載されている会社名、製品名は、各社の商標または登録商標である可能性があります。

3. 目次
1 このドキュメントの概要 1
2 このドキュメントの特徴 5
2.1 要求事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 展開のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.1 Android または iOS デバイスで Office 365 アプリを利用する . . . . . . . . . . . . . . . 6
2.2.2 PC または Mac で Office 365 Web アプリケーションの利用する . . . . . . . . . . . . . . 7
2.2.3 仮想ディスクトップを使用して Office 365 デスクトップアプリを利用する . . . . . . . . . 8
3 本ドキュメントのコンポーネント 11
3.1 Azure Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.1.1 多要素認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.1.2 Identity Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.1.3 条件付きアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2 Microsoft Intune . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2.1 アプリケーションの保護ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2.2 デバイス登録の制限について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3 Microsoft Cloud App Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3.1 セッション制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.3.2 アクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.4 Office 365 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.5 Azure Virtual Desktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4 本ドキュメントの詳細 21
4.1 共通の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.1.1 Azure AD グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
i

4. 4.1.2 Azure MFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1.3 登録制限ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.4 共通設計の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.5 共通設定ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2 Good な構成設計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2.1 Good な構成設計の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2.2 Good な構成設計の設定ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.3 Better な構成設計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.3.1 Better な構成設計のユースケース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.3.2 Better な構成設計のポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.4 Best な構成設計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.4.1 Best なシナリオの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.4.2 Best な構成ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
ii

5. 1 このドキュメントの概要
このドキュメントは、英国の公共部門と商業団体が個人の非管理デバイスを Office 365 サービスに接続でき
るようにすることで、従業員にリモートワークを促進するための追加機能を提供し、その義務を果たし、サー
ビス内に存在する機能と性能を活用できるようにする必要性に基づいて作成されました。英国政府、産業界に
おける幅広い経験に基づき、既存の「ベストプラクティス」を大いに活用しています。
このガイダンスは、
「NCSC と Microsoft のガイダンスに従ったので、これ以上何もする必要はない」とい
うことを示唆するものではありません。 むしろ、本書で説明するコントロールは、特定のセキュリティコン
トロールが使用される理由を読者が理解し、Azure Active Directory、Microsoft Intune、Office 365 の機能
と性能をどのように使用すれば、BYOD (Bring Your Own Device) による Office 365 テナントへのアクセ
スを許可する際に共通の基準が達成されたことを組織が理解できるように、ステップごとの設定ガイドを提供
することを意図しています。
このドキュメントは、ノートパソコンやモバイル端末を会社で用意できない場合に、BYOD（Bring Your
Own Device）シナリオをサポートするために作成されました。
重要
このドキュメントは、管理者が BYOD から Office 365 にアクセスするためのものではなく、エンド
ユーザーが BYOD から Office 365 を利用するためのものです。 管理者アカウントは、BYOD デバイ
スから管理タスクを実行したり、O365 生産性アプリケーションを使用したりするべきではありません。
このドキュメントに記載されている技術的コントロールは「Good」
、
「Better」
、
「Best」の 3 つのカテゴ
リーに分類されています。カテゴリー分けの根拠は以下の通りです。
• Good な展開シナリオ
– すべての組織が満たすべき最小レベルの構成を形成します。
– Microsoft 365 E3 ライセンスで設定可能です。
1

6. – 簡単な設定作業で実装可能です。
– PC および Mac 向けのブラウザベースの利用します。
– モバイルデバイス（スマートフォン/パッド）用の承認されたアプリケーションで利用します。
– Exchange Online と SharePoint Online での MFA と制限付きセッションコントロールによる条
件付きアクセスを使用します。
– 最も高い残存リスク高いです。
• Better な展開シナリオ
– 組織が目指すべきレベルを形成します。
– Microsoft 365 Security & Compliance パッケージのコンポーネントまたは Microsoft 365 E5 で
設定可能です。
– より複雑な設定作業が必要になる場合があります。
– Microsoft Cloud App Security を使用した、より柔軟できめ細かいユーザーポリシーとセッショ
ンの制御を行います。
– ブラウザベースのアクセス（PC および Mac）に対する条件付きアクセスの適用します。
– モバイルデバイス（スマートフォン/タブレット）向けの承認済みアプリを使用した条件付きアク
セスを行います。
– Good パターンに比べて残存リスクは低いです。
• Best な展開シナリオ
– Microsoft 365 Security and Compliance パッケージのコンポーネント または M365 E5 で設定
可能です。
– Azure Virtual Desktop (AVD) を利用し、あらゆるデバイスから企業の IT を利用したオフィスで
の作業に限りなく近い体験を提供できます。
– PC や Mac から AVD サービスにアクセスするためのブラウザやクライアントアプリを利用して
条件付きアクセスで利用します。
– 優れた管理により、在宅勤務者に仮想化された企業デスクトップを提供する一方で、個人のコン
ピューティングデバイスをアクセス手段として利用することで、管理されていない PC や Mac の
攻撃対象領域を大幅に削減することができます。
2

7. 図 1: Blueprint のコンポーネント
3

8. 図 2 に示した意思決定のためのフロー図は、組織が本書で説明されているパターンのうちどれを使用すべき
かを決定するのに役立つように設計されています。
例えば、組織が M365 Security and Compliance Package (SCP) または M365 E5 のライセンスを持って
いる場合、Better の展開 シナリオで使用されるコントロールはより低い残留リスクを提供するので使用する
べきではありません。
図 2: 意思決定のためのフロー図
4

9. 2 このドキュメントの特徴
このドキュメントは個人の非管理下のデバイスから企業データにアクセスするための要件を満たすものとし
て認識されている、次の 3 つの主要な展開シナリオを対象としています。
• Android または iOS デバイスでの Office 365 アプリの利用。
• PC または Mac での Office 365 Web アプリケーションの利用。
• PC または Mac から Azure Virtual Desktop を使用した Office 365 デスクトップクライアントアプリ
ケーションへのアクセス。
以下のセッションでは、それぞれの展開シナリオがどのように能力を発揮するのかより詳細に説明します。
2.1 要求事項
このドキュメントが開発された要求の事項の一覧を以下に示します。
1. 個人のモバイルデバイスでは承認されたアプリケーションのみを許可する。
2. 個人所有の PC および Mac では、Web アプリケーションのみを許可する。
3. Office 365 サービスにアクセスするために MFA を必要とする。
4. ファイルや添付ファイルの管理。
（a）データファイルが承認されたアプリから出ないようにする（共有アイコン - ファイルの共有経由）
。
（b）他のアプリから承認済みアプリにデータが送信されないようにする。
（c）承認済みアプリから非承認済みアプリへのデータのコピー＆ペーストを防止する。
5. Jailbroken / Root 化されたデバイスからのアクセスをブロックする。
6. 一定バージョン以降の OS を搭載した端末のみ許可する。
7. 携帯電話の紛失や暗証番号の入力ミス（何回まで）があった場合、企業データを消去する。
5

10. 重要
このドキュメントでは、デバイスが管理対象デバイスとして Intune に登録されている場合に利用でき
るコントロールについては意図的にカバーしていません。個人用の非管理対象デバイスで利用できるコ
ントロールに焦点を当てています。
2.2 展開のシナリオ
2.2.1 Android または iOS デバイスで Office 365 アプリを利用する
この機能により、ユーザーは個人の非管理下のモバイルデバイスで Office 365 モバイルアプリケーション*1
にアクセスできるようになります。
Good な展開シナリオでは、Microsoft Azure Active Directory の要素認証（MFA）と条件付きアクセス、
ポリシーおよび Microsoft Intune でアプリケーション保護ポリシーを組み合わせて活用していきます。
その結果、エンドユーザーは次のことができるようになります。
• 個人のモバイルデバイスで Outlook を使用して Exchange Online メールにアクセスできます。
• 個人のモバイルデバイスで Skype for Business または Teams にアクセスできます。
• 個人のモバイルデバイスで OneDrive for Business にアクセスできます。
• 個人のモバイルデバイスでの SharePoint Online へのアクセスできます。
• Word、Excel、PowerPoint（および必要に応じてその他の Office 365 認定クライアントアプリケーショ
ン）の使用できます。これらのアプリケーションの詳細については「承認済みクライアント アプリを
必須にする」 を参照してください。
すべてのアクセスは、マイクロソフトが Apple AppStore または Google Play Store のいずれかに公開した
承認済みアプリケーションからのみとなります。 導入シナリオでは、企業データを保護するために、アプリ
ケーションにポリシーが適用されます。 デバイスは組織によって管理されず、承認されたアプリケーション
*1 Apple iOS または Android オペレーティングシステムを搭載したスマートフォンおよびタブレット端末
6

11. のみが組織によって管理されます。
重要
組織は、Apple AppStore または Google Play ストアから Office Mobile Apps をモバイルデバイスに
インストールする際のガイダンスを従業員に提供する必要があります。
デバイスの紛失や盗難、従業員の退職時にデータを保護するために、Intune の選択的ワイプ機能により、組
織のアプリデータとアプリを削除することができます。 詳細は、
「Intune で管理されているアプリから会社
のデータをワイプする方法」を参照してください。
Better の展開シナリオでは、
Azure AD Identity Protection を使用します。Azure AD Identity Protection
は、条件付きアクセスポリシーの条件として追加され、ユーザー ID が安全でない方法で使用されないよう
に保護することを支援します。 リスクレベルが「中」または「高」と判定された場合、Azure AD Identity
Protection は、ユーザーにパスワードの変更を要求したり、多要素認証を強制するなど、定義されたアクショ
ンが完了するまでサービスへのアクセスをブロックします。
Azure AD Identity Protection の詳細については「Identity Protection とは」をご参照ください。
2.2.2 PC または Mac で Office 365 Web アプリケーションの利用する
この機能によりユーザーは個人の PC や Mac 端末から Web ブラウザーで Office 365 アプリケーションに
アクセスすることができるようになります。
Good な展開シナリオの場合、この機能は Microsoft Azure Active Directory、多要素認証（MFA）と条
件付きアクセスポリシー、および Office 365 アプリケーション構成ポリシーを組み合わせて活用し、ファイル
や添付ファイルのダウンロードを防止することが可能になります。
その結果、エンドユーザーは次のことができるようになります。
• 個人の PC または Mac デバイスで Web ブラウザを使用して Outlook Web Access を使用し、
Exchange Online の電子メールにアクセスすることができます。
• 個人の PC または Mac デバイスのウェブブラウザを使用して、Skype for Business または Teams ウェ
7

12. ブアプリケーションにアクセスできます。
• 個人の PC または Mac デバイスのウェブブラウザを使用して、OneDrive for Business にアクセスで
きます。
• 個人の PC または Mac デバイスで Web ブラウザを使用して SharePoint Online にアクセスすること。
• Word、Excel、PowerPoint の Web アプリケーションの使用できます。その他の Office 365 の Web ア
プリケーションの使用も可能です。
Better な展開シナリオでは、さらに 2 つの機能が利用されます。
• Microsoft Cloud App Security
• Azure AD Identity Protection
Microsoft Cloud App Security サービスは、ユーザーのセッションでコピー/ペースト、ダウンロード、
アップロードなどの特定のセッション制御を実施し、業務データが個人のデバイスにダウンロードされるの
を防止します。 エンドユーザーのデバイスは、組織では管理されません。 この導入シナリオでは、インター
ネットブラウザのみにアクセスを制限し、古いオペレーティングシステムとブラウザを検出して拒否すること
もできます*2
。
Azure AD Identity Protection は、条件付きアクセスポリシーの条件として追加され、ユーザー ID が安
全でない方法で使用されないように保護することを支援します。 リスクレベルが「中」または「高」の場合、
Azure AD Identity Protection は、ユーザーにパスワードの変更を要求したり、多要素認証を強制するなど、
定義されたアクションが完了するまで、サービスへのアクセスをブロックします。
Azure AD Identity Protection の詳細な情報については「Identity Protection とは」をご参照ください。
2.2.3 仮想ディスクトップを使用して Office 365 デスクトップアプリを利用する
この展開シナリオでは、Azure Virtual Desktop（AVD）インスタンスでホストされている Office 365 アプ
リケーションに、個人の PC や Mac デバイスから Web ブラウザまたはクライアントアプリケーションを使
用してアクセスすることができます。
*2 Microsoft Intelligence は、対応 OS およびブラウザのリストをまだ公表されていません。
8

13. 仮想デスクトップ（VDI）は、従業員がリモートで作業しているときに会社のデータに安全にアクセスでき
るため、組織のセキュリティも向上します。 また、いつでも、どこからでも、エンドユーザーデバイスと同じ
ようにデータやアプリケーションにアクセスできるため、従業員の生産性も向上します。
1. マルチセッションのコスト削減を実現するための Windows Server Desktop を導入する。
2. Windows 10 でシングルセッションで導入する。
Azure Virtual Desktop（AVD）は、Windows 10 のマルチセッションを利用することで、特に以下の点に
最適化されています。Office 365 Apps for Enterprise に最適化され、プールされたマルチセッションまたは
パーソナル（永続）デスクトップ、あるいは個別の公開リモートアプリケーションのいずれかをサポートし、
仮想デスクトップ管理を簡素化できます。
Azure Virtual Desktop（AVD）を使用すると、従業員が物理的なハードウェアや場所に縛られることな
く、安全なリモートワーク機能を提供することができます。 従業員がプールされたマルチセッション仮想デ
スクトップへのアクセスを要求するか、個人用デスクトップのプロビジョニングを要求すると、プロファイル
と特定のユースケースに基づいて迅速に配信および管理されます。 プールされた個々のアプリケーションへ
のアクセスは、デスクトップ全体ではなく、ユーザが必要とするアプリケーションへのアクセスのみを提供す
るシンプルなメカニズムを提供します。
Azure Virtual Desktop（AVD）は、ID プロバイダーとして Azure Active Directory（Azure AD）を活
用し、Azure Virtual Desktop（AVD）サービスにアクセスする際に多要素認証（MFA）を必要とする条件付
きアクセスなどの追加のセキュリティ制御を可能にします。また、デスクトップデバイスから Office 365 サー
ビスにアクセスする際に、Azure Virtual Desktop（AVD）が Hybrid Azure AD に参加していることを確認
するための条件付きアクセスなどのセキュリティコントロールが可能になります。
その結果、エンドユーザーは次のことができるようになります。
• PC または Mac デバイスの Web ブラウザで HTML5 アプリケーションを使用して Azure Virtual
Desktop（AVD）インスタンスにアクセスします。
• PC または Mac デバイスで AVD Remote Desktop クライアントアプリケーションを使用して Azure
Virtual Desktop （AVD）インスタンスにアクセスします。
9

14. • Azure Virtual Desktop（AVD）インスタンスから Outlook デスクトップアプリケーションまたは
Outlook Web Access を使用して Exchange Online のメールにアクセスします。
• Azure Virtual Desktop（AVD）インスタンスからデスクトップクライアントまたは Web アプリケー
ションを使用して Skype for Business または Teams にアクセスします。
• Azure Virtual Desktop（AVD）インスタンスからデスクトップクライアントまたは Web アプリケー
ションを使用して OneDrive for Business にアクセスします。
• Azure Virtual Desktop（AVD）インスタンスから Web ブラウザを使用して SharePoint Online にア
クセスします。
• Edge ブラウザを使用して、組織の送信プロキシや Web コンテンツフィルタリングシステムを使用し
ながら、インターネットを閲覧することができます。
• Azure Virtual Desktop（AVD）インスタンスで、Word、Excel、PowerPoint のデスクトップアプリ
ケーションまたは Web アプリケーションを使用します。
この展開シナリオでは、個人の非管理下のデバイスは仮想デスクトップのプレゼンテーション・インター
フェースに接続するためにのみ使用され、ドキュメントへのアクセスや Web ブラウジングは、組織の現在の
ポリシーに沿ったグループ・ポリシーが適用された管理下のデバイスから実行されるため、最もリスクの低い
アプローチとなります。
10

15. 3 本ドキュメントのコンポーネント
本ドキュメントを構成するコンポーネントを図 3 に示します。
図 3: BYOD Blueprint のコンポーネント図
3.1 Azure Active Directory
本ドキュメントでは、Azure AD の以下のコンポーネントが使用されます。
3.1.1 多要素認証
多要素認証は 3 つのプロファイルすべてで使用されています。 多要素認証（MFA）とは、サインイン時に、
携帯電話のコード入力や指紋スキャンなど、追加の本人確認が求められるプロセスです。 MFA のブループリ
ント設計は、Azure AD で行われる一連の設定と、条件付きアクセスポリシー駆動の導入アプローチで構成
されます。つまり、Azure AD の条件付きアクセスでは、アプリケーションへのアクセスが許可される前に
MFA が要求されます。 ユーザーは、まだ MFA に登録されていない場合、認証エクスペリエンス内でインラ
イン登録を強制されます。インライン登録は、強制的に登録し、サービスを広く展開する最も簡単で最も効率
11

16. 的な方法です。 MFA は、クレデンシャルスタッフィング*3
やパスワードスプレー攻撃*4
のリスクを軽減する
ためのアプローチとして認知されています。
3.1.2 Identity Protection
Identity Protection は、M365 SCP と M365 E5 に含まれる Azure AD P2 の要件があるため、Better な
展開シナリオと Best な展開シナリオで使用されています。
盗まれた認証情報に対抗するためマイクロソフトは Azure AD Identity Protection というソリューション
を開発し、ユーザー ID が安全でない方法で使用されないように保護することを支援します。 リスクレベルに
基づいて Azure AD Identity Protection は、ユーザーにパスワードの変更を要求したり、多要素認証を強制
するなど、
（リスクプロファイルに基づいた）適切なアクションを取ることができます。
アイデンティティに焦点を当てた結果、組織は次のことを行うことが重要です。
• 権限レベルに関係なく、すべてのアイデンティティを保護する必要があります。
• 漏洩した ID が悪用されるのを未然に防ぎます。
漏洩したアイデンティティを発見するのは簡単なことではありません。 Azure Active Directory は、適応
性のある機械学習アルゴリズムとヒューリスティックを使用して、危険にさらされた可能性のあるアイデン
ティティを示す異常や疑わしいインシデントを検出します。 このデータを使用して、Identity Protection は
レポートとアラートを生成し、検出された問題を評価し、適切な緩和措置または是正措置を講じることを可能
にします。Azure AD Identity Protection は収集されたデータに基づいて、表 1 に示す種類のリスクイベン
トを生成します。
Azure Active Directory Identity Protection は単なる監視とレポート作成ツールではありません。 組織の
アイデンティティを保護するために、指定されたリスクレベルに達したときに検出された問題に自動的に対応
するリスクベースのポリシーを構成することができます。
Better な展開パターンの場合、これらのポリシーは他の入力に加えて Azure AD の条件付きアクセスポリ
*3 ク レ デ ン シ ャ ル ス タ ッ フ ィ ン グ に つ い て は https://doubleoctopus.com/security-wiki/threats-and-tools/credential-
stuffing/をご参照ください。
*4 パスワードスプレー攻撃については https://doubleoctopus.com/security-wiki/threats-and-tools/password-spraying/をご
参照ください。
12

17. 表 1: リスクイベントの分類
リスクイベントの種類 説明
漏洩した認証情報 一般的に、情報漏えいが発生すると、認証情報が販売されたり、
ダークウェブでアクセスされ、サービスにアクセスしようとする
ために使用されます。
特殊な移動 世界中のさまざまな場所から複数のサインイン。
このリスク検出タイプは、地理的に離れた場所から発信された 2
つのサインインを識別し、そのうちの少なくとも 1 つの場所は、
過去の行動から、そのユーザーにとって非典型的である可能性も
あります。 この機械学習アルゴリズムは、2 つのサインイン間の
時間と、ユーザーが最初の場所から 2 番目の場所まで移動するの
にかかった時間を考慮し、別のユーザーが同じ認証情報を使用し
ていることを示します。
感染した端末からのサインイン ボットサーバーと通信するマルウェアに感染した端末。
匿名 IP アドレスからのサインイン 通常、Tor ブラウザーなどのプロキシを使用して行われます。
不審な活動を行う IP アドレスからの
サインイン
サインインに失敗した回数が多かった IP アドレス。
見慣れないばしょからのサインイン 過去のサインインした場所から見慣れない場所を割り出す。
ロックアウトのイベント
シーによって提供される条件付きアクセス制御のシグナルとして使用されます。 このポリシーは、パスワー
ドのリセットや多要素認証の実施を含む是正措置が満たされるまでアクセスをブロックするように設定されて
います。
サインインのリスクが検出された場合、彼らはリスクを是正し、ユーザーをブロック解除する方法について
は「リスクを修復してユーザーをブロック解除する」をご参照ください。
13

18. 重要
セルフサービス パスワード リセット (SSPR) は、サインイン リスク イベントがトリガーされた場合
にユーザーがパスワードをリセットできるようにするために必要です。 詳細については「動作のしく
み: Azure AD のセルフサービス パスワード リセット」と「チュートリアル:Azure Active Directory
のセルフサービス パスワード リセットを使用して、ユーザーが自分のアカウントのロック解除または
パスワードのリセットを実行できるようにする」をご参照ください。
リスクイベントについての詳細は「Identity Protection とは」をご参照ください。
Azure AD Identity Protection の詳細については「Identity Protection とは」をご参照ください。
3.1.3 条件付きアクセス
条件付きアクセスは、3 つのパターンすべてで使用され、アクセス先の Office 365 サービスに対する制御の
基礎を形成しています。
条件付きアクセスは、新しいアイデンティティ・ドリブン・コントロール・プレーンの中心であり、BYOD
ブループリントの基礎を形成します。 条件付きアクセスは、信号をまとめ、決定を下し、組織のポリシーを
実施するために使用される機能です。 条件付きアクセスは、提供された信号に基づいてアプリケーションへ
のアクセスを許可または拒否する粗い粒度の認証エンジンと考え、その後、ユーザーがアクセスできるものに
ついてアプリケーションが細かい粒度の認証を決定することを可能にします。
条件付きアクセスポリシーの最も単純なものは、ユーザーがリソースにアクセスしたい場合、あるアクショ
ンを完了しなければならない、という if-then ステートメントです。 例えば、給与計算担当者が自分の Mac
14

19. から電子メールにアクセスしたい場合。また、MacOS 用の Outlook クライアントや Mac のネイティブメー
ルクライアントではなく、Outlook Web Access のみを使用することができます。
条件付きアクセスポリシーを使用することで、必要なときに適切なアクセス制御を適用して組織の安全を確
保し、必要ないときにはユーザーの邪魔をしないようにすることができます。
図 4: 条件付きアクセスの構成要素と流れ
重要
条件付きアクセスポリシーは、一要素認証が完了した後に適用される。 条件付きアクセスは、サービス
妨害（DoS）攻撃などのシナリオに対する組織の最初の防御線として意図されているわけではないが、
これらのイベントからの信号を使用してアクセスを決定することができる。
3.2 Microsoft Intune
本ドキュメントでは、Microsoft Intune の以下のコンポーネントが使用されます。
3.2.1 アプリケーションの保護ポリシー
アプリケーションの保護ポリシーは、Good と Better の展開シナリオのモバイルデバイスプロファイルで
使用されます。 このドキュメントでは、選択したクラウドアプリ（例：Exchange Online）へのアクセスは、
15

20. 承認されたクライアントアプリ（例：Outlook for iOS または Android）から試みる必要があります。 これら
の承認済みクライアントアプリは、モバイルデバイス管理（MDM）ソリューションとは無関係に Intune ア
プリ保護ポリシーをサポートします。
この付与制御を利用するためには、
条件付きアクセスでは、
デバイスを Azure Active Directory に登録され
ている必要があり、ブローカーアプリを使用する必要があります。 ブローカーアプリは、iOS 用の Microsoft
Authenticator、または Android デバイス用の Microsoft Company ポータルのいずれかを使用します。 ユー
ザーが認証しようとしたときにブローカーアプリがデバイスにインストールされていない場合、ユーザーはブ
ローカーアプリをインストールするためにアプリストアにリダイレクトされます。
この設定は、次の iOS アプリと Android アプリに適用されます。
Microsoft Azure Information Protection Microsoft Bookings
Microsoft Cortana Microsoft Cortana
Microsoft Edge Microsoft Excel
Microsoft Flow Microsoft Edge browser
Microsoft Edge browser Microsoft Invoicing
Microsoft Kaizala Microsoft Launcher
Microsoft Office Microsoft OneDrive
Microsoft OneDrive Microsoft Outlook
Microsoft Planner Microsoft PowerApps
Microsoft Power BI Microsoft PowerPoint
Microsoft SharePoint Microsoft Skype for Business
Microsoft StaffHub Microsoft StaffHub
Microsoft StaffHub Microsoft To-Do
Microsoft Visio Microsoft Word
Microsoft Whiteboard Microsoft Yammer
16

21. 3.2.2 デバイス登録の制限について
デバイス登録の制限は 3 つのモバイルデバイスの展開パターンすべてで使用されます。 デバイス登録制限
は Intune で管理するために登録できるデバイスを定義する登録制限を作成および管理します。
作成できる具体的な登録制限には、以下のものがあります。
• 登録可能なデバイスの最大数。
• 登録可能なデバイスプラットフォーム
– Android デバイス管理者
– Android Enterprise ワークプロファイル
– iOS/iPadOS
– macOS
– Windows
– Windows Mobile
• iOS/iPadOS、Android デバイス管理者、Android エンタープライズワークプロファイル、Windows、
Windows Mobile のプラットフォーム OS バージョン。(Windows10 バージョンのみ使用可能です。
Windows 8.1 が許可されている場合は空欄にしてください)。
– 最小バージョン
– 最大バージョン
• 個人所有のデバイスを制限する（iOS、Android デバイス管理者、Android Enterprise ワークプロファ
イル、macOS、Windows、および Windows Mobile のみ）
。
このドキュメントでは、デバイス制限ポリシーの例が含まれており、組織のニーズに合わせて適応させる必
要があります。
3.3 Microsoft Cloud App Security
Microsoft Cloud App Security (MCAS) は、Security and Compliance Pack (SCP) および M365 E5 の
一部であるため、Better Scenario で使用されます。
17

22. 本ドキュメントでは、Microsoft Cloud App Security の次のコンポーネントが使用されています。
3.3.1 セッション制御
Microsoft Cloud App Security は、アクセスを許可されたプラットフォームとデバイスの種類のみに制限
し、
データ損失のリスクを最小限に抑えるために必要なセッション制御を実施する機能を提供します。 MCAS
のセッション制御の詳細については「Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御
を使用してアプリを保護する」をご参照ください。
MCAS セッションコントロールは、条件付きアクセスポリシーが条件付きアクセスアプリコントロールを
使用するように設定することで呼び出され、その後、コントロールの実施を MCAS にオフロードされます。
3.3.2 アクセス制御
クラウドアプリのセッション制御を使用してセッション内のアクティビティを制御することを選択した多く
の組織は、アクセス制御を適用して同じセットのネイティブのモバイルおよびデスクトップクライアントアプ
リをブロックし、それによってアプリの包括的なセキュリティを提供します。
クライアントアプリのフィルタをモバイルとデスクトップに設定することで、アクセスポリシーを使用して
ネイティブのモバイルおよびデスクトップクライアントアプリへのアクセスをブロックすることができます。
ネイティブクライアントアプリの中には、個別に認識できるものもありますが、アプリのスイートの一部であ
るその他のアプリは、そのトップレベルのアプリとしてのみ認識できます。例えば、SharePoint Online など
のアプリは、Office 365 アプリに適用するアクセスポリシーを作成しないと認識できません。
3.4 Office 365
条件付きアクセスで Office 365 (プレビュー) クライアントアプリタイプの対象となる Office 365 サービス
は、すべてパターンに含まれます。
3.5 Azure Virtual Desktop
Azure Virtual Desktop は、Azure 上で動作するマイクロソフトのデスクトップおよびアプリケーション
の仮想化サービスです。 Windows 10、11 または Windows Server のフル OS を拡張性をもって仮想化し、
18

23. 図 5: Azure Virtual Desktop のアーキテクチャー
Microsoft 365 Apps for enterprise（旧称「Office 365 ProPlus」
）を仮想化してマルチユーザーの仮想シナリ
オで動作するように最適化し、さらに他のアプリケーションも仮想化することが可能です。
ハイレベルなサービスアーキテクチャ
• ExpressRoute や VPN でオンプレミスのリソースに接続可能。
• Azure Active Directory の ID を使用したユーザー認証。
• Systems Center Configuration Manager および Microsoft Intune との統合。
• Linux シンクライアント SDK やその他のツールにより、非 Windows OS を実行するデバイスをサ
ポート。
図 5 は、Windows Virtual Desktop のサービスアーキテクチャを示したもので、ユーザーが Virtual
Desktop に接続する際の接続フローも注釈されています。 0 番がアウトバウンド接続であることに注意し
てください。リバース接続では、インバウンドポートを開く必要がないため、攻撃対象が少なくなります。
WVD サービスは、アウトバウンド接続を使用して WVD クライアントをリソースに接続します。
接続の流れ
1. ユーザーが RD クライアントを起動して Azure AD に接続し、サインインすると、Azure AD からトー
クンが返ってきます。
2. RD クライアントが Web Access にトークンを提示し、Broker が DB に問い合わせを行い、ユーザー
に許可されたリソースを決定します。
19

24. 3. ユーザがリソースを選択、RD クライアントがゲートウェイに接続します。
4. ブローカーがホストエージェントからゲートウェイへの接続をオーケストレートします。
5. RD クライアントとセッションホスト VM の間で、WebSocket 接続 3 および 4 を介して RDP トラ
フィックが流れています。
図 6: リバースコネクト方式
Azure Virtual Desktop が採用しているリバースコネクト方式には、次のようなメリットがあります。
• 攻撃されにくくなる。
• インバウンドポートの監視時間が短縮できる。
• アクセスおよび ID ベースの攻撃にアラートを集中できる。
20

25. 4 本ドキュメントの詳細
このセクションでは、まだ公開されていないあるいはワークショップや設計・計画書に含まれていない、コ
ンポーネントの設計上の主な検討事項を取り上げます。 この内容はワークショップの開催時や設計・計画の
作成時に最も有用です。 すべての注意事項がすべての設計に適用されるわけではありませんので、注意深く
読み、このガイダンスを適用するタイミングを適切に判断してください。
4.1 共通の構成
共通構成コンポーネントには 3 つの構成ベースラインすべてで使用されるべき条件付きアクセス・ポリシー
が含まれています。
4.1.1 Azure AD グループ
本ドキュメントでは適切なポリシーとコンフィギュレーション設定を適切な導入設計に割り当てるために、
以下のグループを使用します。
表 2: 本ドキュメントの導入設計と定義で使用される Azure AD Groups
グループ名 使用目的
BYOD-Good-Mobile-Device-
Users–Enabled
このグループは、ユーザーのモバイルデバイスに Good 設定ポリ
シーを適用し、適切な設定制御をユーザーのモバイルデバイスに
配置するために使用されます。
BYOD-Good-PC-Users–Enabled このグループは、ユーザーの PC または Mac デバイスに Good
設定ポリシーを適用し、適切な設定制御をユーザーのモバイルデ
バイスに配置するために使用されます。
21

26. グループ名 使用目的
BYOD-Good-Exclude-Mobile-
Device-Users
このグループは、
ユーザーのモバイルデバイスに適用される Good
設定ポリシーを除外するために使用されます。 これは、ユーザー
が企業で発行されたモバイルデバイスを持っているが、ラップ
トップデバイスを持っていないことが原因である可能性がありま
す。
BYOD-Good-Exclude-PC-Users このグループは、ユーザーの PC または Mac デバイスに適用さ
れる Good 設定ポリシーを除外するために使用されます。 これ
は、ラップトップデバイスは持っているが、モバイルデバイスは
持っていないことが原因である可能性があります。
BYOD-Better-Mobile-Device-
Users–Enabled
このグループは、ユーザーのモバイルデバイスに Better 設定ポ
リシーを適用し、適切な設定制御をユーザーのモバイルデバイス
に配置するために使用されます。
BYOD-Better-PC-Users–Enabled このグループは、ユーザーの PC または Mac デバイスに Better
設定ポリシーを適用し、適切な設定制御をユーザーのモバイルデ
バイスに配置するために使用されます。
BYOD-Better-Exclude-Mobile-
Device-Users
このグループは、ユーザーのモバイルデバイスに適用される「ベ
ター」構成ポリシーを除外するために使用されます。 これは、企
業で発行されたモバイルデバイスは持っているが、ラップトップ
デバイスは持っていないことが原因である可能性があります。
BYOD-Better-Exclude-PC-Users このグループは、ユーザーの PC または Mac デバイスに適用さ
れる Better 設定ポリシーを除外するために使用されます。 これ
は、ラップトップデバイスは持っているが、モバイルデバイスは
持っていないことが原因である可能性があります。
22

27. グループ名 使用目的
BYOD-Best-Mobile-Device-
Users–Enabled
このグループは、ユーザーのモバイルデバイスに Best コンフィ
グレーションポリシーを適用し、適切なコンフィグレーションコ
ントロールをユーザーのモバイルデバイスに配置するために使用
されます。
BYOD-Best-PC-Users–Enabled このグループは、ユーザーの PC または Mac デバイスに Best コ
ンフィギュレーションポリシーを適用し、ユーザーのモバイルデ
バイスに適切なコンフィギュレーションコントロールを配置する
ために使用されます。
BYOD-Best-Exclude-Mobile-
Device-Users
このグループは、ユーザーのモバイルデバイスに適用される Best
設定ポリシーを除外するために使用されます。 これは、企業で発
行されたモバイルデバイスは持っているが、ラップトップデバイ
スは持っていないことが原因である可能性があります。
BYOD-Best-Exclude-PC-Users このグループは、
ユーザーの PC または Mac デバイスに適用され
る Best 設定ポリシーを除外するために使用されます。 これは、
ラップトップデバイスは持っているが、モバイルデバイスは持っ
ていないことが原因である可能性があります。
23

28. 4.1.2 Azure MFA
表 3 は、本ドキュメントで推奨される MFA 構成設定について説明しています。すべてのオプションは、
Azure MFA Service Settings を介して構成されます。
表 3: Azure MFA の設定
セクション オプション 設定
アプリパスワード 非ブラウザアプリにサインインするための
アプリパスワードの作成を許可する。
設定なし
非ブラウザアプリにサインインするための
アプリパスワードの作成を許可しない。
信頼できる IP 信頼できる IP からなら MFA をスキップす
る。
チェックを外す。
以下の範囲の IP アドレスサブネットからの
リクエストに対して多要素認証をスキップ
します。¡Add CIDR subnets¿
検証のオプション ユーザーが利用できる方法
・電話へのコール 電話への通話*5
・電話へのテキストメッセージ送信 電話へのテキストメッセージ*6
・モバイルアプリへの通知 モバイルアプリからのお知らせ
・モバイルアプリへの検証コードの送信 モバイルアプリからの認証コード
MFA を記憶する ユーザーが信頼するデバイスで多要素認証
を記憶させることが可能
チェックを外す。
デバイスが再認証を必要するまでの日数 (1-
60)
7 日
24

29. 重要
ユーザーが Office 365 サービスにアクセスする前に、MFA に登録することが重要です。 マイクロソ
フトが推奨する MFA 登録の方法は、現在のリモートワークの制約下では不可能な場合がありますので
「条件付きアクセス: セキュリティ情報登録のセキュリティ保護」をご参照ください。
例えば、ユーザーがヘルプデスクに電話し、MFA の登録を許可するグループに追加されます。 登録が
確認されると、Office 365 サービスへのアクセスを許可するグループに追加されます。
4.1.3 登録制限ポリシー
表 4 に、登録制限ポリシーの推奨構成を示します。このポリシーは、個人のデバイスが Azure AD に参加
し、Microsoft Intune によって管理されることを防ぐものです。
重要
組織が従業員に個人所有のデバイスを Intune に登録して管理するよう求めることを決定した場合、個
人の iOS / iPadOS または Android デバイスを Intune に登録できるように、このポリシーを更新する
必要があります。
25

30. 表 4: Intune の登録制限ポリシー
ポリシー設定 値
名前 CONTOSO-パーソナルデバイスの登録・制限について
概要 個人用デバイスのデバイス登録の無効化
プラットフォームに関する設定 すべてのデバイス・プラットフォームがブロックされています。
個人所有の端末 すべてのデバイスプラットフォームがブロックされる。
Assignments
対象グループ 個人向け端末登録を制限するグループ
除外グループ
4.1.4 共通設計の定義
次の表は、3 つの展開設計に適用できる共通の設計を、アプリケーションとワークロード別に分類したもの
です。
1. 基本認証を使用するレガシー認証プロトコルを使用しないようにする。 一般的に、これらのプロトコ
ルは、いかなる種類の二要素認証も強制することができません。
2. すべてのプラットフォームで未承認のクライアントアプリの使用をブロックする。つまり、Microsoft
Intune、Office 365 (Preview)、Microsoft Search in Bing、Microsoft Intune Enrolment 以外のすべ
てのアプリをブロックする。これにより、個人のデバイスを使って Office 365 サービスにアクセスで
きるユーザーを防ぐことができるようになります。
26

31. 表 5: 一般的な構成 条件付きアクセスの使用例
4.1.5 共通設定ポリシー
このセクションでは、共通プロファイルを構成するために必要なコンフィギュレーションタスクと設定につ
いて説明します。
4.1.5.1 条件付きアクセス
表 6 に、このドキュメントで使用されるすべての条件付きアクセス ポリシーのキーを示します。
次の表は、共通構成で前述のユースケースで説明した望ましい結果を達成するために必要な各条件付きアク
セスポリシーの詳細を示しています。
レガシー認証をブロックする
レガシー認証とは、基本認証を使用するプロトコルのことです。 一般的に、これらのプロトコルは、いか
なる種類の二要素認証も強制することができません。 レガシー認証に基づくアプリの例としては、以下のよ
うなものがあります。
• 古い Microsoft Office アプリ
• POP、IMAP、SMTP などのメールプロトコルを使用したアプリ
27

32. 表 6: 条件付きアクセステーブルへのキー
キー 定義
取り消し線のテキスト表示 ポリシー設定で選択されていないことを示すために使用されま
す。
太字 ポリシー設定が選択されていることを示すために使用され、必要
に応じてどのような値が選択されたかを説明します。
（例） クラウドアプリから Office 365(プレビュー)
承認されたクライアントアプリケー
ション
条件付きアクセスにより、企業は承認された（モダン認証が可能
な）クライアント・アプリケーションにアクセスを制限すること
ができます。
このブループリントでは、選択したクラウドアプリへのアクセス
試行が必要です。たとえば、Exchange Online は、承認されたク
ライアント アプリ (Outlook for iOS や Android など) から作成
する必要があります。 これらの承認されたクライアント アプリ
は、モバイル デバイス管理 (MDM) ソリューションに依存しな
い 「Intune のアプリ保護ポリシー」をサポートします。
具体的なアプリ保護ポリシーの設定については、以下のアプリ保
護ポリシー（MAM-WE）をご覧ください。
最近では、一要素認証 (たとえば、ユーザー名とパスワード) だけでは十分ではありません。 このポリシー
設定は、ユーザーが MFA も必要とするのではなく、ユーザー名とパスワードだけを使って Office 365 サービ
スに接続できないようにするために使用されます。
レガシー認証プロトコルの詳細については 「条件付きアクセスで Azure AD へのレガシ認証アクセスをブ
ロックする」をご参照ください。
表 7 は、レガシー認証の使用をブロックするための条件付きアクセス・ポリシーについて説明しています。
28

33. 表 7: BYOD-共通-レガシー認証のブロック
29

34. 表 8 は、BYOD デバイスに Office 365 と Bing 承認アプリサービスへのアクセスのみを許可する条件付き
アクセスポリシーについて説明しています。
重要
未承認アプリをブロックする条件付きアクセスポリシーは、
次のように変更する必要があります。Azure
Virtual Desktop と Azure Virtual Desktop Client をクラウドアプリまたはアクションの除外リストに
含め、ユーザーがこれらのサービスエンドポイントに接続できるように、最適な構成に変更する必要が
あります。
30

35. 表 8: BYOD-共通-未承認のアプリのブロック
31

36. 4.2 Good な構成設計
Good な構成設計では、Microsoft 365（M365）E3 ライセンスで利用可能なコンポーネントのみを使用し
ています。
Good な構成設計では以下のコンポーネントを使用します。
• Azure AD の多様層認証
• Azure AD の条件付きアクセス
• Intune の条件付きアクセス
• Intune のアプリ保護ポリシー
• 端末の登録制限ポリシー
4.2.1 Good な構成設計の定義
Good な構成設計には、レガシー認証のブロックと未承認アプリのブロックの共通ユーザーケースも含まれ
ます。ユースケースと構成ポリシーの詳細については、上記の「§4.1 共通の構成」を参照してください。
表 9 は、アプリケーション/ワークロードごとに分類された各ユースケースの詳細です。 クライアントタイ
プは、2 つの設計に分かれています。
1. PC または Mac のブラウザベース、すなわちデバイス上のウェブブラウザ（例：Microsoft Edge、
Chrome、Safari）
。
2. iOS または Android 上の承認されたクライアントアプリ、すなわちプラットフォーム用に開発された
アプリ（例：Microsoft Outlook for Android and iOS/iPadOS, Microsoft Teams for Android and
iOS/iPadOS, Office Apps for Android, and iOS/iPadOS）
。
32

37. 表 9: Good な構成設計の条件付きアクセスのユースケース
4.2.2 Good な構成設計の設定ポリシー
このセクションでは、Good プロファイルを構成するために必要なコンフィギュレーションタスクと設定に
ついて説明します。
4.2.2.1 Exchange Online
Good な構成で望ましい動作をサポートするには、Exchange Online でいくつかの設定作業を行う必要があ
ります。詳細は「Conditional Access in Outlook on the web for Exchange Online」をご参照ください。
Outlook Web App は、デバイスが準拠していない場合に、ユーザーが電子メールからローカルマシンに
33

38. 添付ファイルをダウンロードする機能を制限する条件付きアクセスポリシーの構成をサポートしています。
Office Web Apps の機能により、ユーザーは個人所有のマシンにデータを流出させることなく、これらのファ
イルを安全に閲覧・編集し続けることができます。
OWA メールボックスプロパティの条件付きアクセスポリシーを構成するための UI オプションはなく、唯
一の選択肢は、これを実行するために PowerShell を使用することです。
ポリシー設定を行うには、次の PowerShell を使用します。
デフォルトの OWA メールボックス・ポリシーの場合
01 Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default
-ConditionalAccessPolicy ReadOnly
新しい OWA メールボックス・ポリシーの場合
01 New-OwaMailboxPolicy -Name "Restricted Download Access"
02 Set-OwaMailboxPolicy -Identity "Restricted Download Access"
-ConditionalAccessPolicy ReadOnly
重要
この動作を強制するために使用される条件付きアクセスのポリシー設定は、UI の [セッション] の下に
ある [アプリに強制された制限を使用する] です。
34

39. 4.2.2.2 SharePoint Online
Good な構成設定で望ましい動作をサポートするには SharePoint Online でいくつくかの構成タスクを
実行する必要があります。
重要
SharePoint Online のドキュメント ライブラリおよび OneDrive for Business からのドキュメントの
ダウンロードを制御することは重要です。Microsoft Teams、Planner、Office 365 Groups などの他の
Office 365 アプリケーションでは、ドキュメントを保存するために裏で SharePoint を使用しているた
め、OneDrive for Business からのドキュメントのダウンロードを制御することは重要です。
SharePoint は、UI と PowerShell の両方で条件付きアクセスのアプリケーション設定ができます。 UI ポ
リシーは、SharePoint Online 管理センターの [アクセス制御] セクションにあります。
図 7: SharePoint Online の条件付きアクセスの設定
[Unmanaged Devices] をクリックし、[Allow limited, web-only access] を選択します。
PowerShell を使用してこのポリシーを設定するには、Set-SPOTenant コマンドレットを使用します。
01 Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
35

40. 重要
SharePoint Online ポリシー設定は、SharePoint 管理センターの [管理されていないデバイス上のアプ
リからのアクセスをブロックする] と [ブラウザー アクセスにアプリによって強制された制限を使用す
る] という 2 つの条件付きアクセスポリシーが作成されます。 これらのポリシーはすべてのユーザーに
適用され、除外されません。
[PC と Mac でブラウザーのみを使用する Office 365 の MFA を要求する] ポリシーは同等の設定
を実装するため、自動的に作成された 2 つのポリシー設定は割り当てを解除する必要があります。
4.2.2.3 条件付きアクセス
次の表で Good 構成の前のユース ケースで説明した目的の結果を達成するために必要な各条件付きアクセ
ス ポリシーの詳細を示します。
承認済みクライアント アプリ ポリシーの詳細については「条件付きアクセス: 承認済みのクライアント ア
プリまたはアプリ保護ポリシーが必要です」をご参照ください。
アプリ保護ポリシー (MAM-WE) は、iOS および iPadOS の場合は表 13、Android の場合は表 14 で定義
されています。
36

41. iOS と iPadOS
表 10 は、iOS デバイスと iPadOS デバイスが MFA と承認済みアプリを使用して Office 365 アプリケー
ションと Bing に接続できるようにする条件付きアクセス ポリシーについて説明したものです。
表 10: BYOD-Good-iOS 上で承認されたアプリを使用して Office 365 と Bing で多要素認証を要求するため
の定義
37

42. Android デバイス
表 11 は、Android デバイスが MFA と承認済みアプリを使用して Office 365 アプリケーションと Bing に
接続できるようにする条件付きアクセス ポリシーについて説明したものです。
表 11: BYOD-Good-Android 上で承認されたアプリを使用して Office 365 と Bing で多要素認証を要求する
ための定義
38

43. PC または Mac デバイス
表 12 は、PC と Mac デバイスが MFA と承認済みアプリを使用して Office 365 アプリケーションと Bing
に接続できるようにする条件付きアクセス ポリシーについて説明したものです。
表 12: BYOD-Good-PC と Mac 上で承認されたアプリを使用して Office 365 と Bing で多要素認証を要求す
るための定義
39

44. 4.2.2.4 アプリケーション保護ポリシー（MAM-WE）
iOS と iPadOS
表 13 は iOS と iPad OS デバイスのアプリケーション保護ポリシーを説明したものです。
表 13: iOS のアプリケーション保護ポリシー
ポリシー設定 値
Name Contoso Apple AppProtectionPolicy
Description
Apps
Target Apps on all device types Yes
Public Apps Microsoft Dynamics CRM on iPad
Microsoft Dynamics CRM on iPhone
Skype for Business
PowerApps
Edge
Excel
Outlook
PowerPoint
Word
Office Hub
OneNote
Microsoft Planner
Microsoft Power BI
Microsoft Flow
Microsoft SharePoint
OneDrive
40

45. ポリシー設定 値
Public Apps Microsoft Teams
Microsoft Stream
Microsoft To-Do
Microsoft Vision Viewer
Yammer
Custom Apps
Data Protection
Prevent Backups Block
Send org data to other apps Policy managed apps with Open-In/Share filtering
Select apps to exempt
Save copies of org data Block
Allow user to save copies to selected services –
Receive data from other apps Policy managed apps
Restrict cut, copy, and paste between other apps Policy managed apps
Cut and copy character limit for any app 0
Third party keyboards SwiftKey Keyboard: com.touchtype.swiftkey
Sync app with native contacts app Block
Printing org data Block
Restrict web content transfer with other apps Microsoft Edge
Unmanaged browser protocol –
Org data notifications Allow
Access Requirements
PIN for access Require
PIN type Numeric
41

46. ポリシー設定 値
Simple PIN Block
Select minimum PIN length 4
Touch ID instead of PIN for access (iOS 8+/iPadOS) Allow
Override biometrics with PIN after timeout Require
Timeout (minutes of inactivity) 30
Face ID instead of PIN for access (iOS 11+/iPadOS) Allow
PIN reset after number of days No
Number of days 0
App PIN when device PIN is set Require
Work or school account credentials for access No required
Recheck the access requirements after (minutes of
inactivity)
10
Conditional Launch
Max PIN attempts 5 - Reset PIN
Conditional Launch
Max PIN attempts 5 – Reset PIN
Offline grace period 720 - Block access (minutes)
Offline grace period 90 – Wipe data (days)
Jailbrokenrooted devices Block access
Min OS Version 13.0
Assignments
Included Groups BYOD-Good-Mobile Device-Users–Enabled
BYOD-Better-Mobile Device-Users–Enabled
BYOD-Best-Mobile Device-Users–Enabled
Excluded Groups
42

47. Android
表 14 は Android デバイスのアプリケーション保護ポリシーを説明したものです。
表 14: Android のアプリケーション保護ポリシー
ポリシー設定 値
Name Contoso-Android-AppProtectionPolicy
Description Android MAM Policy of Office Applications an
BYOD
Platform Android
Apps
Target Apps on all device types Yes
Public Apps Dynamics CRM for Phones
Dynamics CRM for Tablets
Skype for Business
PowerApps
Edge
Excel
Outlook
PowerPoint
Word
Office Hub
Office Hub [HL]
OneNote
Microsoft Planner
Microsoft Power BI
43

48. ポリシー設定 値
Public Apps Microsoft Flow
Microsoft SharePoint
OneDrive
Microsoft Teams
Microsoft Stream
Microsoft To-Do
Yammer
Custom Apps
Data Protection
Prevent Backups Block
Send org data to other apps Policy managed apps
Select apps to exempt –
Save copies of org data Block
Allow user to save copies to selected services –
Receive data from other apps Policy managed apps
Restrict cut, copy, and paste between other apps Policy managed apps
Cut and copy character limit for any app 0
Screen capture and Google Assistan Disable
Approved keyboards Require
44

49. ポリシー設定 値
Select keyboards to approve Gboard - the Google Keyboard:
com.google.android.inputmethod.latin
SwiftKey Keyboard: com.touchtype.swiftkey
Samsung Keyboard: com.sec.android.inputmethod
Google Indic Keyboard:
com.google.android.apps.inputmethod.hind
Samsung voice input:
com.samsung.android.svoiceime
Encrypt org data Require
Encrypt org data on enrolled devices Require
Sync app with native contacts app Block
Printing org dat Block
Restrict web content transfer with other apps Microsoft Edge
Unmanaged Browser ID –
Unmanaged Browser Name –
Org data notifications Allow
Access Requirements
PIN for access Require
PIN type Numeric
Simple PIN Block
Select minimum PIN length 4
Fingerprint instead of PIN for access (Android 6.0+) Allow
Override fingerprint with PIN after timeout Require
Timeout (minutes of inactivity) 30
PIN reset after number of days No
45

50. ポリシー設定 値
Number of days 0
Select number of previous PIN values to maintain 0
App PIN when device PIN is set Require
Work or school account credentials for access No required
Recheck the access requirements after (minutes of
inactivity)
10
Conditional Launch
Max PIN attempts 5 – Reset PIN
Offline grace period 720 - Block access (minutes)
Offline grace period 90 – Wipe data (days)
Jailbroken/rooted devices Block access
Min OS Version 8.0
Min OS Version Basic integrity and certified devices
Basic integrity and certified devices
Included Groups BYOD-Good-Mobile Device-Users–Enabled
BYOD-Better-Mobile Device-Users–Enabled
BYOD-Best-Mobile Device-Users–Enabled
Excluded Groups
46

51. 4.2.2.5 アプリケーション構成ポリシー
Microsoft Edge
こ の ポ リ シ ー を BYOD-Good-Mobile Device-Users–Enabled, BYOD-Better-Mobile Device-
Users–Enabled, BYOD-Best-Mobile Device-Users–Enabled に割り当てます。
表 15 はこのドキュメントの推奨構成です。Edge 固有のその他の構成制御については「iOS と Android に
対して Edge を使用して Web アクセスを管理する」をご参照ください。
表 15: モバイル端末用 Microsoft Edge のアプリケーション構成ポリシー
名前 値
com.microsoft.intune.useEdge true
com.microsoft.intune.mam.managedbrowser.defaultHTTPS true
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo true
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor true
4.3 Better な構成設計
Better 構成は、M365 Security and Compliance Pack または M365 E5 ライセンスで利用可能なコンポー
ネントを使用します。
Better 構成では、以下のコンポーネントを使用します。
• Azure AD の多要素認証
• Azure AD の条件付きアクセスの設定
• Intune のアプリケーション保護ポリシー
• Intune のアプリケーション設定ポリシー
• Intune のデバイス登録制限ポリシー
• Microsoft Cloud App Security のセッションコントロールポリシー
• Microsoft Cloud App Security のアクセスポリシー
• Azure AD の Identity Protection ポリシー
47

52. Better な構成は以下の通りです。
• Microsoft Cloud App Security (MCAS) のアプリケーションセッション制御により、ユーザーアク
ションをより詳細に制御します（ドキュメントの印刷ブロック、ドキュメントのアップロードのブロッ
クなど）
。
• Azure AD Identity Protection のサインインリスクコントロールを条件付きアクセスで行うことがで
きます。
重要
Better な構成設定では、
上記 §4.2.2.1 の Exchange Online および §4.2.2.2 の SharePoint Online で説
明した添付ファイルやアイテムのダウンロードを防止するための Exchange Online または SharePoint
Online の設定は必要ありません。
Better な構成設計については、次のセクションで説明します。
4.3.1 Better な構成設計のユースケース
Better な構成設計には、レガシー認証のブロックと未承認アプリのブロックの共通ユーザーケースも含ま
れており、ユースケースと構成ポリシーの詳細については、上記の「§4.1 共通の構成」を参照してください。
Better なユースケースでは、iOS/iPadOS と Android デバイスのための Good な構成設計ポリシー に記
載されている条件付きアクセスポリシーも使用されます。 設定の詳細については「§4.2.2.3 条件付きアクセ
ス」 をご参照ください。
Better なユースケースでは、Office 365 アプリケーションへのブラウザーセッションは Microsoft Cloud
App Security (MCAS) のセッションコントロールを使用して保護されます。これにより、ユーザーが実行で
きるアクションをより詳細に制御でき、EXO と SPO の設定を使用して提供される良いシナリオで制御され
たダウンロードのブロックと同様に、印刷、アップロードをブロックすることが可能です。
このユースケースには、Office 365 サービスにアクセスするユーザーのアイデンティティをさらに保護する
Azure AD Identity Protection も含まれ、条件付きアクセスポリシーはこれらのシグナルを使用して高およ
48

53. び中リスクのサインインイベントをブロックする。 この条件付きアクセスポリシーは、モバイルデバイスの
ユーザーにも適用され、リスクベースのアイデンティティ保護を提供します。
表 16 は、アプリケーション/ワークロードごとに分別された各ユースケースの詳細です。 クライアントタ
イプは、2 つのシナリオに分かれています。
1. iOS または Android 上の承認されたクライアントアプリ、すなわちプラットフォーム用に開発された
アプリ（例：Microsoft Outlook for Android and iOS/iPadOS, Microsoft Teams for Android and
iOS/iPadOS, Office Apps for Android, and iOS/iPadOS)。
2. PC または Mac でのブラウザベース、すなわちデバイス上の Web ブラウザ (例：Microsoft Edge、
Chrome、Safari から Office 365、Bing for Business へアクセス)。
3. アイデンティティ保護でサインインリスクが「中」または「高」の場合、PC または Mac の Web ブラウ
ザ、またはモバイルデバイスの承認済みクライアントアプリから Office 365 および Bing for Business
へのアクセスをブロックします。
49

54. 表 16: Good-条件付きアクセスのユースケース
50

55. 4.3.2 Better な構成設計のポリシー
4.3.2.1 条件付きアクセス
次の表は、
「Better」構成で、前述のユースケースで説明した望ましい結果を得るために必要な 2 つの条件
付きアクセスポリシーの詳細を示しています。
すべてのプラットフォーム - 高または中程度のサインインリスクをブロックする
表 17 はユーザーのサインイン リスクが高または中である場合に、PC または Mac、モバイル デバイスの
すべてのプラットフォームからの Office 365 アプリケーションおよび Bing へのアクセスをブロックする条
件付きアクセスポリシーを説明したものです。
表 17: BYOD-Better - Office 365 へのアクセスをブロックし、すべてのプラットフォームでサインインリス
クを中・高にする
51

56. PC または Mac デバイス - ブラウザのみ（セッションコントロール付き）
表 18 は、PC および Mac デバイスが Web ブラウザーを使用して MFA および MCAS セッションコント
ロールを使用して Office 365 アプリケーションおよび Bing に接続することを許可する条件付きアクセスポリ
シーについて説明しています。
表 18: BYOD-Better-PC または Mac でセッションコントロール付きのブラウザのみを使用して、Office 365
の MFA を要求する
52

57. 4.3.2.2 Microsoft Cloud App Security (MCAS)
Microsoft Cloud App Security (MCAS) によるコピー&ペースト防止のためのセッション制御
表 19 はコピー/ペーストを防ぐための Microsoft Cloud App Security (MCAS) のセッション制御ポリシー
を説明しています。
表 19: Microsoft Cloud App Security (MCAS) による コピー&ペーストを防ぐためのセッション制御ポリ
シー
ポリシー設定 値
Policy Template Block cut/copy and paste based on real time content inspection
Policy Name CONTOSO-Block-CopyPaste
Description Block Copy/Cut and Paste functionality
Policy Severity Low
Category DLP
Session Control Type Block Activities
Activity Filters Activity type equals (Cut/Copy Item OR Paste Item)
Content Inspection False
False Block
Also notify user by email False
Customize block message ‘Copy and Paste functionality has been disabled when accessing from personal
devices’
Create an alert matching event
with the policy’s severity
False
53

58. Microsoft Cloud App Security (MCAS) によるプリンターセッションの制御
表 20 は、印刷を防止するための Microsoft Cloud App Security（MCAS）の セッション制御ポリシーに
ついてを説明しています。
表 20: Microsoft Cloud App Security (MCAS) によるプリンターセッション制御ポリシー
ポリシー設定 値
Policy Template Block Print functionality
Policy Name Contoso-Block-Print
Description Block Print functionality
Policy Severity Low
Category DLP
Session Control Type Block Activities
Activity Filters Activity type equals (Print)
Content Inspection False
Actions Block
Also notify user by email False
Customize block message ‘Printing has been disabled when accessing from personal devices’
Create an alert matching event
with the policy’s severity
False
54

59. Microsoft Cloud App Security (MCAS) によるダウンロードセッションの制御
表 21 はファイルダウンロードを防ぐための Microsoft Cloud App Security (MCAS) のセッション制御ポ
リシーについて説明しています。
表 21: Microsoft Cloud App Security によるファイルダウンロードセッション制御ポリシー
ポリシー設定 値
Policy Template Block download based on real-time content inspection
Policy Name CONTOSO-Block-FileDownload
Description Block File Download functionality
Policy Severity Low
Category DLP
Session Control Type Control file download (with DLP)
Activity Filters None
Inspection Method None
Actions Block
Also notify user by email False
Customize block message ‘File Download functionality has been disabled when accessing from personal
devices’
Create an alert matching event
with the policy’s severity
False
55

60. Microsoft Cloud App Security (MCAS) によるファイルアップロードセッションの制御
表 22 は、ファイルアップロードを防ぐための Microsoft Cloud App Security (MCAS) のセッション制御
のポリシーについて説明しています。
表 22: Microsoft Cloud App Security (MCAS) によるファイルアップロードセッション制御ポリシー
ポリシー設定 値
Policy Template Block upload based on real-time content inspection
Policy Name Contoso-Block-File-Upload
Description Block File Upload functionality
Policy Severity Low
Category DLP
Session Control Type Control file upload (with DLP)
Activity Filters None
Inspection Method None
Actions Block
Also notify user by email False
Customize block message ‘File upload functionality has been disabled when accessing from personal
devices’
Create an alert matching event
with the policy’s severity
False
56

61. Microsoft Cloud App Security による非モバイルデバイス、非ブラウザのアクセス制御
表 23 は非モバイルデバイス、非ブラウザによるアクセスを防ぐための Microsoft Cloud App Security
(MACS) のセッション制御のポリシーについて説明しています。
表 23: Microsoft Cloud App Security (MCAS) による非モバイル、非ブラウザのアクセス制御ポリシー
ポリシー設定 値
Policy Name Contoso-Block-Access-NonMobile-NotBrowser
Description Block access to Office 365 if the client application is not a Browser and
the device is not a Mobile or Tablet
Policy Severity Medium
Category Access Contol
Activity Filters Device Type Does Not Equal Mobile OR Tablet
Device Type Does Not Equal Mobile OR Tablet
App Equals Office 365
Actions Block
Also notify user by email False
Customize block message ‘Access from this application is not supported when using a personal
device’
Create an alert matching event
with the policy’s severity
True
Send alert as email TBA
57

62. Microsoft Cloud App Security （MCAS） による古い OS のアクセス制御
表 24 は古い OS によるアクセスを防ぐための Microsoft Cloud App Security のセッション制御ポリシー
について説明しています。
表 24: Microsoft Cloud App Security （MCAS）による古い OS のアクセス制御ポリシー
ポリシー設定 値
Policy Name Contoso-Block-Outdated-OS
Description Block Access for Outdated Operating Systems
Policy Severity Low
Category Access Control
Activity Filters User Agent Tag Equals Outdated Operating System
Actions Block
Also notify user by email False
Customize block message ‘Access to CONTOSO systems is prohibited from your operating system
version’
Create an alert matching event
with the policy’s severity
False
58

63. Microsoft Cloud App Security による古いブラウザのアクセス制御
表 25 は古いブラウザによるアクセスを防ぐための Microsoft Cloud App Security のセッション制御ポリ
シーについて説明しています。
表 25: Microsoft Cloud App Secuirty (MCAS) による古いブラウザのアクセス制御ポリシー
ポリシー設定 値
Policy Name Contoso-Block-Outdated-Browser
Description Block Access for Outdated Browsers
Policy Severity Low
Category Access Control
Activity Filters User Agent Tag Equals Outdated Browser
App Equals Office 365
Actions Block
Also notify user by email False
Customize block message ‘Access to CONTOSO systems is prohibited from your Internet Browser
version’
Create an alert matching event
with the policy’s severity
False
59

64. Azure AD Identity Protectin のサインインリスクのポリシー
表 26 はサインインリスクのためのアイデンティティ保護ポリシーを説明しています。
表 26: アイデンティティの保護-ユーザーリスクのポリシー
Assignments Users Include BYOD-Better-Mobile
Device-Users–Enabled
BYOD-Better-PC-Users–Enabled
YOD-Best-Mobile Device-Users–Enabled
BYOD-Best-PC-Users–Enabled
Exclude
Conditions Sign-in Risk Medium and above
Allow access Require multi-factor authentication
Azure AD Identity Protection の多要素認証登録ポリシー
表 27 は多要素認証の登録ポリシーのためのアイデンティティ保護ポリシーを説明しています。
4.4 Best な構成設計
Best な構成設計は、M365 Security and Compliance Pack または M365 E5 ライセンスで利用可能なコン
ポーネントを使用します。
Best な構成設計では、以下のコンポーネントを使用します。
• Azure AD の多要素認証
• Azure AD の条件付きアクセスの設定
• Intune のアプリケーション保護ポリシー
• Intune のアプリケーション設定ポリシー
• Intune のデバイス登録制限ポリシー
• Microsoft Cloud App Security のセッション制御ポリシー (もし Web アプリを使っている場合)
• Microsoft Cloud App Security のアクセスポリシー (もし Web アプリを使っている場合)
• Azure AD Identity Protection ポリシー
60

65. 表 27: アイデンティティの保護-ユーザーリスクのポリシー
Assignments Users Include BYOD-Better-Mobile
Device-Users–Enabled
BYOD-Better-PC-Users–Enabled
BYOD-Best-Mobile Device-Users–Enabled
BYOD-Best-PC-Users–Enabled
Exclude
Controls Access Allow access Require Azure MFA registration
61

66. • Azure Virtual Desktop
Best な構成設計は以下の通りです。
• Azure Virtual Desktop により、完全に管理されたデスクトップ環境を提供し、ユーザーは通常のオ
フィスマシンを使用しているかのように作業することができます。 これにより、ユーザーは Office 365
にアクセスする際に、Office Web Apps と Desktop Applications のどちらかを選択することができ
ます。
重要
Best な構成設計では「§4.2 Good な構成設計」の「§4.2.2.1Exchange Online」 および 「§4.2.2.2
SharePoint Online」
で使用される添付ファイルまたはアイテムのダウンロードを防ぐために、
Exchange
Online または SharePoint Online の構成は必要ありません。この機能は、Microsoft Cloud App
Secuirty によって提供されるだけでなく、ファイルの印刷のブロックやアップロードのブロックなどの
他のシナリオでも提供されます。
図 8 に示すフローを表 28 に示します。
図 8: Azure Virtual Desktop のアクセスフロー
Best な構成設計について説明します。
62

67. 表 28: Azure Virtual Desktop の接続フロー
Step 説明
1 ユーザーは、PC または Mac デバイスから、HTML5 ブラウザーまたはリモート デスクトップ クライアン
ト アプリを使用して Windows 仮想デスクトップ サービスに接続します。
ユーザーは、MFA が Azure Virtual Desktop サービスに接続するための条件付きアクセス ポリシーの一部
として使用されたことを満足する必要があります。
2 Azure Virtual Desktop のランディング ページから、ユーザーは使用するリソースの種類 (プール デスク
トップ、個人用デスクトップ、公開済みアプリ) を選択し、そのリソースに接続します。
3 Azure Virtual Desktop から、必要に応じて Office 365 アプリケーションを起動します。
4 Office 365 アプリを起動します。
この接続は Office 365 サービスへの接続が Hybrid Azure AD に参加したデバイスから行われることを要求
する条件付きアクセスルールが適用されます。
4.4.1 Best なシナリオの定義
Best なシナリオには、レガシ認証をブロックするための一般的なユーザーケースと未承認のアプリのブロッ
クも含まれます。ユースケースと設定ポリシーの詳細については、
「§4.1 共通の構成」をご参照ください。
Best シナリオでは「iOS / iPadOS および Android デバイスのための Good な構成ポリシー」で説明した
iOS / iPadOS および Android モバイルデバイスのための条件付きアクセスポリシーも使用します。
設定の詳細については「条件付きアクセス」をご参照ください。
Best な構成では、管理されていない BYOD PC または Mac デバイスから Azure Virtual Desktop サービ
スにアクセスするユースケースが追加されます。
Azure Virtual Desktop サービスへのアクセス制御には、2 つの条件付きアクセスポリシーが使用されます。
仮想デスクトップデバイス自体へのアクセスは、HTML5 準拠のブラウザやクライアントアプリを使用して許
可され、MFA を必要とする条件付きアクセスポリシーで制御されます。ドメインに参加した仮想デスクトッ
プへの接続が確立すると、Office 365 サービスやインターネットへのアクセス（Microsoft Edge, Outlook,
Teams, その他の Office 365 クライアントアプリ）は、仮想デスクトップデバイスが Hybrid Azure AD に参
加していることが必要で、条件付きアクセスポリシーで制御されます。
表 29 は各ユースケースをアプリケーション/ワークロード別に分類したものです。 クライアントタイプは、
63

68. 4 つのシナリオに分かれています。
1. iOS または Android 上の承認されたクライアントアプリ、すなわちプラットフォーム用に開発された
アプリ（例：Microsoft Outlook for Android and iOS/iPadOS, Microsoft Teams for Android and
iOS/iPadOS, Office Apps for Android, and iOS/iPadOS)。
2. PC または Mac でのブラウザベース、すなわちデバイス上の Web ブラウザ（例：Microsoft Edge、
Chrome、Safari から Windows Virtual Desktop HTML5 Web クライアントまで）
。
3. Azure Virtual Desktop クライアントなど、PC または Mac 上で承認されたクライアントアプリ。
4. Hybrid Azure に加入した Azure Virtual Desktop デバイスから、Microsoft Outlook for PC または
Mac、Microsoft Teams for PC または Mac、Office Apps for PC または Mac にアクセスできます。
4.4.2 Best な構成ポリシー
4.4.2.1 条件付きアクセス
次の表は Best な構成で、hyperlinksec:Best なシナリオの定義 §4.4.1 のユースケースで説明した望ましい
結果を達成するために必要な条件付きアクセスポリシーの詳細を示しています。
すべてのプラットホーム-「高」または「中」程度のサインインリスクをブロックする
表 30 はユーザーのサインイン リスクが高または中である場合に、PC または Mac およびモバイル デバイ
ス (iOS, iPadOS および Android) からの Office 365 アプリケーションおよび Bing へのアクセスをブロッ
クする条件付きアクセスポリシーを説明したものです。
重要
Azure Virtual Desktkop および Azure Virtual Desktop クライアントアプリが、ポリシーで定義され
ている付属のクラウドアプリに追加されました。
PC または Mac デバイス
表 31 は PC および Mac デバイスが Azure Virtual Desktop ク ライアントまたは HTML5 Web ブラウ
64

69. 表 29: Best な構成設計-条件付きアクセスのユースケース
ザークライアントを使用して Azure Virtual Desktop サービスに接続することを許可する条件付きアクセス
ポリシーについて説明しています。
Azure Virtual Desktop 上のドメインに参加したデバイス
表 32 は「ドメインへの参加を要求する (ハイブリッド Azure AD)」 条件を満たす必要があることにより、
Azure Virtual Desktop デバイスが Office 365 アプリケーションとインターネットに接続できるようにする
条件付きアクセス ポリシーについて説明します。
65

70. 表 30: BYOD-Best-すべてのプラットフォームでサインイン リスクが中程度および高のブラウザーまたは最
新のアプリを使用して、Azure Virtual Desktop および Office 365 へのアクセスをブロックする
表 32: BYOD-Best-PC または Mac 上の Office 365 への Azure Virtual Desktop アクセスには、Hybrid
Azure AD に参加したデバイスが必要です。
66

71. 表 31: BYOD-Best- PC または Mac でブラウザからクライアントアプリを使用した Azure Virtual Desktop
に MFA を要求する。
4.4.2.2 Azure Virtual Desktop のポリシー
Azure Virtual Desktop の推奨セキュリティ構成については「Azure Virtual Desktop のセキュリティの運
用方法」をご参照ください。
本ドキュメントでは、RDP セッションの制御で定義されたポリシーは、次のセクションで説明する設定を
参照してください。
RDP セッションの制御
図 9 は Azure Virtual Desktop セッションの推奨 RDP 設定を示しています。これらの設定は、ユーザーが
デスクトップセッションの外にデータをコピーできないようにし、印刷を防止するように設計されています。
67

72. 図 9: Azure Virtual Desktop の RDP の設定
68