概要
デバイスフィルターを使うと、Intuneを使わなくてもAzureAD参加/登録したデバイスだけをアクセス許可するような条件付きアクセスポリシーが書けます。
背景
デバイス認証を条件にアクセス制御したいんだけどIntune使わないといけないの? との質問を受けたので調べました。
やりかた
AzureADではデバイスプロパティの trustType にデバイスの登録状態が入っています。
デバイスの登録状態 | trustType |
AzureAD参加 | AzureAD |
AzureAD登録 | Workplace |
Hybrid AzureAD参加 | ServerAD |
登録なし | (null) |
なので、この値を使ってデバイスフィルターの条件を書いてあげるとIntuneを使わずにデバイス認証を条件としたポリシーが作成できます。
例えば、AzureAD参加またはAzureAD登録したデバイスだけをアクセス許可したい場合は次のようにします。
この状態で [ターゲット リソース] で指定したアプリケーションにアクセスすると、デバイスに応じたアクセス制御が行なわれます。
おまけ
上の方法は正道ではなさそうなので、Intuneが使える場合は普通に [許可] の [デバイスは準拠しているとしてマーク済みである必要があります] を使いましょう。
コメント