マイクロソフト、Azure ADへ“デバイス単位”での包括アクセス制御機能を追加：従業員のiOS／Android搭載スマホ、Windows搭載PCを対象可能に

マイクロソフトは、「Azure Active Directory」にデバイス単位での包括アクセス制御機能を追加。従業員が使うiOS／Android搭載スマホとWindows搭載PCを対象に、包括的なアクセス制御と管理を実現する。

[＠IT]

　米マイクロソフトは2016年10月4日（米国時間）、「Azure Active Directory（以下、Azure AD）」にデバイス単位の条件付きアクセス制御機能を追加した。

　デバイス単位の条件付きアクセス制御機能は、MFA（Multi-Factor Authentication：多要素認証）やアクセスしている場所、IDがなりすましの被害を受けていないかなどを監視する「Azure AD Identity Protection」から得られるリスクスコア、「Microsoft Intune」のMDM（Mobile Device Management：モバイルデバイス管理）管理情報を組み合わせて機能し、従業員が使うデバイスと業務アプリケーション間の包括的なセキュリティとコンプライアンスの制御を実現する。iOS／Android搭載のスマートデバイスと、Windows（10／8.1／7）搭載のPCなどを制御対象にできる。

　マイクロソフトによると、早期にこれらのポリシーを適用して、従業員に対して、適切に構成されたデバイスで「Office 365」などのクラウドアプリケーションへアクセスする体制を構築することが望ましいとしている。

条件付きアクセス制御の仕組み

　Azure ADの条件付きアクセス機能は、Azure AD Premiumライセンスに含まれ、Azure ADを使って認証する全てのアプリケーションへ適用できる。例えば、Office 365、Azure、Dynamics CRM、マイクロソフトのアプリギャラリー内のアプリ（ServiceNow、Salesforce.com、Concurなど）、Azure AD Application Proxyで公開されるオンプレミスアプリなどが当てはまる。

　デバイス制御の設定方法は以下の通り。

1. Windowsドメイン参加デバイス（オンプレミスのADに参加）は、ほぼ自動化された形でAzure ADに登録可能。対象デバイスは、Windows 10デバイスとドメインレベルWindowsデバイスなどがある
2. iOS／Androidデバイスは、Microsoft Intuneに登録ことでAzure ADに登録される
3. Windows 10 Azure AD参加デバイスは、Azure ADへの参加時に自動的にAzure ADに登録される
4. BYOD（Bring Your Own Device：自己所有のデバイス）でのWindows 10デバイスは、承認された仕事用アカウントがWindowsに追加された段階でAzure ADに登録される

　この他、以下のアプリ／サービスについては、別途アプリ単位でのアクセス制御も設定できる。また、「Azureポータル」や「Office 365ポータル」にも、デバイスベースの条件付きアクセスポリシーを適用できる機能を追加する予定だという。

• Microsoft Office 365 Exchange Online
• Microsoft Office 365 SharePoint Online
• Dynamics CRM
• Power BI
• Azure ADアプリケーションギャラリーから提供される2700以上のSaaSアプリケーション全て
• Azure AD Application Proxyに登録されたオンプレミスアプリ
• Azure ADに登録された業務アプリ