Intuneを使わずに条件付きアクセスでデバイス認証する方法

概要

デバイスフィルターを使うと、Intuneを使わなくてもAzureAD参加/登録したデバイスだけをアクセス許可するような条件付きアクセスポリシーが書けます。

背景

デバイス認証を条件にアクセス制御したいんだけどIntune使わないといけないの? との質問を受けたので調べました。

やりかた

AzureADではデバイスプロパティの trustType にデバイスの登録状態が入っています。

デバイスの登録状態trustType
AzureAD参加AzureAD
AzureAD登録Workplace
Hybrid AzureAD参加ServerAD
登録なし(null)
https://learn.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-condition-filters-for-devices

なので、この値を使ってデバイスフィルターの条件を書いてあげるとIntuneを使わずにデバイス認証を条件としたポリシーが作成できます。

例えば、AzureAD参加またはAzureAD登録したデバイスだけをアクセス許可したい場合は次のようにします。

この状態で [ターゲット リソース] で指定したアプリケーションにアクセスすると、デバイスに応じたアクセス制御が行なわれます。

認証時にAzureADへデバイス情報を送信しているため、対応していないブラウザ(iOS版のSafariなど)やプライベートブラウジングモードを使用して認証すると、AzureAD参加/登録済みのデバイスであってもアクセス拒否される場合があります。Microsoft Edgeを使うのが無難です。

おまけ

上の方法は正道ではなさそうなので、Intuneが使える場合は普通に [許可] の [デバイスは準拠しているとしてマーク済みである必要があります] を使いましょう。

コメント