Slide 1
Slide 1 text
条件付アクセスの
デバイスフィルタ
を活用してみる!
2021/11/22
三井情報株式会社
若間 弘典
Slide 2
Slide 2 text
はじめに
• 本発表の内容はあくまで個人的な意見や
体験であり、
会社としての正式な見解や意見では一切ありません。
Slide 3
Slide 3 text
自己紹介
• 名前:
若間 弘典 (Hironori Wakama)
• 所属:三井情報株式会社
• 主に触っているモノ
• Microsoft Intune(デバイス管理)
• Azure AD条件付きアクセス(アクセス制御)
• Power PlatformやAzureを使った自動化
• 趣味:触っているモノと大体いっしょ
• 自宅環境:Microsoft 365 E5導入済み
• 本発表の一般人枠(MVPの方々が多すぎて畏れ多い・・・)
Slide 4
Slide 4 text
Microsoft Ignite と 私
Slide 5
Slide 5 text
Microsoft Ignite が今年もやってきてました
おなじみ
Slide 6
Slide 6 text
どこから見ようか?
Slide 7
Slide 7 text
やはりサティア・ナデラさんのOPから
視聴計画立てて入念に・・・?
Slide 8
Slide 8 text
いや違う
Slide 9
Slide 9 text
私は好きなものは先に食べる男
Slide 10
Slide 10 text
興味あるところから見るのがポリシー
Slide 11
Slide 11 text
つまりはここらへん
Slide 12
Slide 12 text
とりあえずこれから見ていこう
Slide 13
Slide 13 text
条件付きアクセス周りもいっぱい更新
Slide 14
Slide 14 text
でも予定が多い・・・
Slide 15
Slide 15 text
ん?
Slide 16
Slide 16 text
新機能がGAだ!
Slide 17
Slide 17 text
条件付きアクセスとは?(おさらい)
デバイスやユーザーの状態を基にクラウドアプリへのアクセス制御を行うツール
セキュリティ回りを触ると必ず行きつく機能
Slide 18
Slide 18 text
アクセス禁止
アクセス許可
これまでの条件付きアクセス
アクセス制御は「誰が」「どこから」「どこへ(どのアプリ?)」がメインだった
Slide 19
Slide 19 text
これまでの条件付きアクセス + Intune
アクセス禁止
アクセス許可
Intuneを併用すると「どんなデバイス?」を条件に加えることができた
Slide 20
Slide 20 text
アクセス禁止
アクセス許可
これまでの条件付きアクセス + デバイスフィルタ(?)
どうやらデバイスフィルタを使うと条件に「デバイス」が使えるようになるらしい
Slide 21
Slide 21 text
なるほど
Slide 22
Slide 22 text
条件付きアクセスでデバイスを
条件として使えるようになったのか、と。
Slide 23
Slide 23 text
・・・
Slide 24
Slide 24 text
Intune要らなくなった?
Slide 25
Slide 25 text
どうしたMicrosoft
Slide 26
Slide 26 text
Intune愛好家を見捨てるのか
Slide 27
Slide 27 text
いやそんなことはない
Slide 28
Slide 28 text
Intuneとデバイスフィルタは全然違うんだろう!
Slide 29
Slide 29 text
調べなければ!
Slide 30
Slide 30 text
デバイスフィルタを!
あとIntuneの生き残る道。
Slide 31
Slide 31 text
こうして
Slide 32
Slide 32 text
私はデバイスフィルタの検証へ
Slide 33
Slide 33 text
なので
Microsoft Ignite と 私
Slide 34
Slide 34 text
実は条件付きアクセス の新機能以外
あまり調べられていなかったりする
Microsoft Ignite と 私
(あとIntune)
Slide 35
Slide 35 text
皆さんの発表やオススメを参考に他も見ていこうかな、と思います!
Microsoft Ignite と 私
Slide 36
Slide 36 text
今日は
条件付きアクセスのデバイスフィルタを
触ってみた結果/考えてみた活用方法を共有
というわけで
Slide 37
Slide 37 text
1. Intuneとの違いはなんだ?
2. デバイスフィルタだからできることってなんだ?
Slide 38
Slide 38 text
1. Intuneとの違いはなんだ?
2. デバイスフィルタだからできることってなんだ?
Slide 39
Slide 39 text
Intune vs デバイスフィルタ
Slide 40
Slide 40 text
Intune (コンプライアンスポリシー)で設定できる条件
• デバイスの正常性
• BitLocker
• セキュアブート
• コード整合性
• OSバージョン
• 最小/最大
• 暗号化
• ファイアウォール
• TPM
• ウィルス対策
• スパイウェア対策
• パスワード
• Defender マルウェア対策
• リアルタイム保護
• MDEのマシンリスクスコア
Slide 41
Slide 41 text
デバイスフィルタ で設定できる条件
• デバイスID
• デバイス名
• デバイス所有者
• Intune準拠状況
• Manufacturer
• Model
• Operating System
• Operating System Version
• 物理ID
• Profile Type
• System Labels
• Trust Type
• Extension Attribute1 - 15
Slide 42
Slide 42 text
Intune vs デバイスフィルタ
• デバイスID
• デバイス名
• デバイス所有者
• Intune準拠状況
• Manufacturer
• Model
• Operating System
• Operating System Version
• 物理ID
• Profile Type
• System Labels
• Trust Type
• Extension Attribute1 - 15
• デバイスの正常性
• BitLocker
• セキュアブート
• コード整合性
• OSバージョン
• 暗号化
• ファイアウォール
• TPM
• ウィルス対策
• スパイウェア対策
• パスワード
• Defender マルウェア対策
• リアルタイム保護
• MDEのマシンリスクスコア
思っていた以上に全然違っていた
Slide 43
Slide 43 text
Intune vs デバイスフィルタ
デバイスに対する細かな社内ルールを設定し
社内ルールを満たしたデバイスのみアクセスを許可したい
Intuneが必要
• デバイスID
• デバイス名
• デバイス所有者
• Intune準拠状況
• Manufacturer
• Model
• Operating System
• Operating System Version
• 物理ID
• Profile Type
• System Labels
• Trust Type
• Extension Attribute1 - 15
• デバイスの正常性
• BitLocker
• セキュアブート
• コード整合性
• OSバージョン
• 暗号化
• ファイアウォール
• TPM
• ウィルス対策
• スパイウェア対策
• パスワード
• Defender マルウェア対策
• リアルタイム保護
• MDEのマシンリスクスコア
Slide 44
Slide 44 text
Intune vs デバイスフィルタ
Model名やManufacturerといった値はIntuneから参照している様子。
デバイスフィルタを最大限活かすなら…
Intuneが必要
• デバイスID
• デバイス名
• デバイス所有者
• Intune準拠状況
• Manufacturer
• Model
• Operating System
• Operating System Version
• 物理ID
• Profile Type
• System Labels
• Trust Type
• Extension Attribute1 - 15
Slide 45
Slide 45 text
Intune要らなくなった?
つまり
Slide 46
Slide 46 text
Intune要らなくなった?
Intune ≠ デバイスフィルタ
設定項目も狙っている役割も全然違う
Slide 47
Slide 47 text
Intune要らなくなった?
Intuneはこれからも必要だった
デバイスフィルタとも仲良くなれそうです
Slide 48
Slide 48 text
1. Intuneとの違いはなんだ?
2. デバイスフィルタだからできることってなんだ?
Slide 49
Slide 49 text
これまでの条件付きアクセスの設定
と限界
許可されていない場所からのアクセスはブロック
⇒同じ場所+同じOS+同じアプリからならどれでもOK
OUT
Slide 50
Slide 50 text
これまでの条件付きアクセスの設定
社内ルールを守らないデバイスはブロック
⇒社内ルールを守っているデバイスならどれでもOK!
with
Intune
OUT
Slide 51
Slide 51 text
これまでの条件付きアクセスの設定
どれか1つだけアクセスさせることはできない
with
Intune
コレ
Slide 52
Slide 52 text
これまでの条件付きアクセスの設定
この二つの区別はできない。なぜ?
with
Intune
コレ
特定のPCからだけ管理ポータルに
アクセスできるようにして欲しいな
(なっ、それはIntuneではできない…)
なんで必要なんですか?
Slide 53
Slide 53 text
これまでの条件付きアクセスの設定
この二つの区別はできない。なぜ?
with
Intune
コレ
コレ
管理専用PCが1台あるんだ。管理者はそのPC
から管理者用アカウントを使って操作するの。
それがうちのルールだから。
あー
※実際結構多い要望だと思います
OUT..ではないけどアクセス禁止したい
管理専用PC
Slide 54
Slide 54 text
これまでの条件付きアクセスの設定
この二つの区別はできない。なぜ?
with
Intune
コレ
コレ
管理専用PCが1台あるんだ。管理者はそのPC
から管理者用アカウントを使って操作するの。
それがうちのルールだから。
あー
※実際結構多い要望だと思います
OUT..ではないけどアクセス禁止したい
管理専用PC
「あ、それできないんですよ。すいません…」
Slide 55
Slide 55 text
これまでの条件付きアクセスの設定
この二つの区別はできない。なぜ?
with
Intune
コレ
コレ
管理専用PCが1台あるんだ。管理者はそのPC
から管理者用アカウントを使って操作するの。
それがうちのルールだから。
あー
※実際結構多い要望だと思います
OUT..ではないけどアクセス禁止したい
管理専用PC
Slide 56
Slide 56 text
これまでの条件付きアクセスの設定
この二つの区別はできない。なぜ?
with
Intune
コレ
コレ
管理専用PCが1台あるんだ。管理者はそのPC
から管理者用アカウントを使って操作するの。
それがうちのルールだから。
あー
※実際結構多い要望だと思います
OUT..ではないけどアクセス禁止したい
管理専用PC
これからはデバイスフィルタで実現できる
でも
Slide 57
Slide 57 text
デバイスフィルタ でできる設定
• デバイスID
• デバイス名
• デバイス所有者
• Intune準拠状況
• Manufacturer
• Model
• Operating System
• Operating System Version
• 物理ID
• Profile Type
• System Labels
• Trust Type
• Extension Attribute1 - 15
Slide 58
Slide 58 text
デバイスフィルタ でできる設定
• デバイスID
• デバイス名
• デバイス所有者
• Intune準拠状況
• Manufacturer
• Model
• Operating System
• Operating System Version
• 物理ID
• Profile Type
• System Labels
• Trust Type
• Extension Attribute1 - 15 ユーザーが好きな文字列を入れられる上、
条件付きアクセスで条件に指定できる
Slide 59
Slide 59 text
デバイスフィルタ からExtensionAttributeを利用する
ExtensionAttribute
に“ManagePC”と設定
こっちからは
アクセスできる
こっちからは
アクセスできない
Slide 60
Slide 60 text
デバイスフィルタ からExtensionAttributeを利用する
ポータルから設定するところが
ないのでGraph APIで設定
Slide 61
Slide 61 text
1. Intuneとの違いはなんだ?
2. デバイスフィルタだからできることってなんだ?
Slide 62
Slide 62 text
Intune と デバイスフィルタを
組み合わせることで
今後は
Slide 63
Slide 63 text
管理者ロールがあるアカウントに対し・・・
1. MFA要求に対応できるユーザーが使っていて
2. 許可された場所(会社の出口IPアドレス)から使っていて
3. 社内ルール(Intune)を満たしているデバイスで
4. その中の特定デバイスからアクセスした時のみ
アクセス許可
することができるようになります!
Slide 64
Slide 64 text
今日皆様に伝えたかったこと
Microsoft Ignite 2021でGA告知がなされたデバイスフィルタは…
1. デバイスフィルタ≠Intuneであること。Intune併用するとさらに細かな制御ができるように!
2. デバイスフィルタを使えばユニークなデバイスを狙い撃ちしたポリシーも実装可能。
デバイスフィルタを使って
自宅の
条件付きアクセスを見直そう!
イベント終わったらそのまま
Slide 65
Slide 65 text
以上
Slide 66
Slide 66 text
ご清聴ありがとうございました。