ども。こんばんは。
前回までに、Intuneに各種デバイスの登録を行いました。
今回は、Azure AD Premiumの条件付きアクセスを設定して、サインイン時に2要素認証(MFA)を設定します。
まず、アカウントへのMFA(Microsoft Authenticatorや電話認証等)の設定は以下から行います。
手順は省略しますが、いい感じに、認証アプリ(Microsoft Authenticator)を設定しました。
QRコードをアプリに取りむ感じです。
今回の条件付きアクセスは、以下のように設定しました。
- 自宅のグローバルIPアドレスはMFAを必要としない
- レガシ認証のアプリについては、条件付きアクセスを適用しない
※AndroidネイティブなExchange Active Syncを利用しているため。
本来はOutlookアプリに切り替えるべきですが、なんやかんやでまだまだネイティブアプリのほうが便利なことがあるので、ここは断腸の思いで除外します。 - Intuneでデバイスが準拠済みのものはMFAを必要としない
まずは、グローバルIPアドレスをネームドロケーションに登録します。
※標準で「MFA信頼済みIP」という設定がありますが、今回はあえて新しく作ってみました。
今回設定した条件付きアクセスは以下のようなものです。
※条件付きアクセスの設定時は、警告の通り自分が追い出されない(条件に引っかかってサインインできなくならない)ように自分は除外するとかテスト用アカウントで試すとか、「レポート専用」にして様子を見るなど、準備が必要です。以下の画面は、テストが終わった後、対象を「すべてのユーザ」に広げています。
上記設定で、自分の要件は満たせており、レガシ認証にはMFAは適用されないし、テザリングなどで自宅以外のIPアドレスから接続するとMFAが有効になります。
・・・が、Intuneでデバイスが準拠しているという条件がいまいち反応してくれません。
以下、マネージドGoogleプレイストアから配信したAndroid用Edgeでサインインしたときのログです。
これは割といい感じなんですが、macOSで同じようなことをしてもデバイス準拠が「いいえ」になってしまいます。。。
そもそも、Google Chromeで、IntuneのステータスをAzure ADに連携するには、Windows 10 Accounntsという拡張機能が必要なようです。
うーん、インストールしてるんですけどねえ。あと、iPadのTeamsアプリなんかでログインしてもデバイス準拠は「いいえ」になってしまう模様。
まいった。。一旦お手上げですが、とりあえず最低限やりたかったMFAは実装できました。
【バックナンバー】
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 1 – 購入編
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 2 – Windows 10をIntuneに登録する
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 3 – AndroidをIntuneに登録する
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 4 – iPadとmacOSをIntuneに登録する
ではでは。またの機会に。