管理対象の Windows 10 デバイスのみがアクセスできるように Office 365 へのアクセスを制限するには、Windows 10 登録デバイス タイプで構成されたアプリケーション固有のアクセス ポリシー ルールを作成します。これにより、管理対象外のデバイスが登録され、管理されるようになります。

[Windows 10] をデバイス タイプとして使用する 2 番目のアクセス ポリシー ルールを作成または更新します。このルールは、フォールバックが構成されていない証明書(クラウド デプロイ)方法を使用して認証するように構成されています。ユーザーが Office 365 にアクセスしようとすると、デバイスが管理対象外の場合、Office 365 アプリケーションの起動に失敗し、デバイスの登録と管理に Windows 10 の登録ルールが適用されます。ユーザーが管理対象デバイスで Office 365 にアクセスする場合は、2 番目のアクセス ポリシー ルールに基づいて認証されます。

前提条件

  • Office 365 がプライマリ ID プロバイダを使用して構成されている。プライマリ ID プロバイダには、Workspace ONE Access、Okta、または ADFS を使用できます。Okta または ADFS がプライマリ ID プロバイダの場合は、Workspace ONE Access をセカンダリ ID プロバイダとして構成する必要があります。
  • デバイス登録が Windows 10 の Out-of-Box Experience (OOBE) を通じて、または Azure Active Directory ドメインに参加するときに管理される。
  • 認証方法が構成され、ID プロバイダに対して有効になっている。
  • Office 365 アプリケーションが Hub カタログに追加されている。

手順

  1. Workspace ONE Access コンソールの [リソース] > [ポリシー] ページで、[ポリシーを追加] をクリックします。
  2. それぞれのテキスト ボックスにポリシーの名前と説明を追加します。
  3. [適用先] セクションで、制限付きアクセスを必要とするアプリケーションを選択します。
  4. [次へ] をクリックします。
  5. [ポリシー ルールの追加] をクリックして、ルールを追加します。
    オプション 説明
    ユーザーのネットワーク範囲が次の場合 ネットワーク範囲を選択します。
    ユーザーが次からコンテンツにアクセスする場合 デバイス タイプとして [Windows 10 の登録] を選択します。
    また、ユーザーが次のグループに属する場合 このアクセス ルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。

    グループが選択されていない場合、アクセス ポリシー ルールはすべてのユーザーに適用されます。

    このアクションを実行します [以下を認証に使用...] を選択します。
    ユーザーは次を使用して認証することができます 使用する認証方法を選択します。
    重要: 証明書(クラウド デプロイ)を使用しないでください。デバイスが登録されるまで、デバイスには適切な証明書が設定されていません。

    ユーザーに 2 つの認証方法を使用して認証することを要求するには、[+] をクリックし、ドロップダウン メニューで 2 つ目の認証方法を選択します。

    先の方法が失敗するか適用できない場合、次を実行 必要に応じて、フォールバック認証方法を構成します。
    再認証までの待機時間 ユーザーによる再認証が必要となるまでのセッション長さを選択します。
  6. [保存] をクリックします。

次のタスク

これで、Windows 10 デバイス タイプ用に構成されたアクセス ポリシーを更新できるようになりました。選択した認証方法は証明書(クラウド デプロイ)のままになりますが、構成されたフォールバック認証方法はすべて削除されます。