みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品 担当の鈴木です。
本日は2017 年11月に実施されるIntuneのコンプライアンスポリシーの仕様変更について説明します。
Azure Active Directoryで条件付きアクセスのデバイスコンプライアンスの準拠をチェックしている場合影響を受ける可能性があります。影響のある可能性がある環境は次になります。
- Azure Active Directoryで条件付きアクセスを設定し、準拠デバイスにアクセス許可を与えており、コンプライアンスチェックの対象になってない端末がある場合
- SCCMとIntuneのハイブリッド構成で条件付きアクセスを上記と同様に設定している場合
- Office 365のモバイルデバイス管理を利用していて「デバイスがポリシーの要件を満たしていなくてもアクセスできるようにする」というポリシーを利用している場合
Intuneのデバイスコンプライアンスは、デバイスが管理者の指定した設定をクリアしているか確認することができる機能で、デバイスの安全性を確認することができる機能の一つです。
MDM管理されたデバイスはコンプライアンスポリシーをチェックして適合していれば「準拠デバイス」としてAzureADに登録されます。Azure ADの条件付きアクセスで適合済みのデバイスのみのアクセスを許可することでクラウドサービスの安全性を高めることができます。
いままでデバイスコンプライアンスポリシーの対象となっていない端末はすべて「準拠」と認識されていました。これがセキュリティ強化のため、2017年11月のIntuneのアップデートの後は「準拠していない」に変更されます。この変更に伴い、いままで問題なくアクセスできていた端末がアクセスをブロックされる可能性があります。
この問題が発生するかどうかを確認するにはIntuneの管理ポリシーから確認できます。
ここに新しくコンプライアンスポリシーが適用されてない端末の数が表示された場合影響がある可能性があります。この機能は2017年10月のアップデートで提供される予定です。その場合は条件付きアクセスの内容を確認して条件にデバイスコンプライアンスの準拠が設定されている場合はアクセスできない端末が発生しないか確認してください。
もしコンプライアンスポリシーのチェックを行わず登録済みデバイスにアクセスできるようにするには、何も設定されていないブランクのコンプライアンスポリシーを作成してユーザに割り当てるようにします。またこの件に対応できる設定が11月のアップデートとともに提供される予定です。
詳細の方法についてはこちらの記事をご確認ください。
Upcoming Security Enhancements in the Intune Service – your action is required!