条件付きアクセスのトラブルシューティング

この記事では、ユーザーが条件付きアクセスで保護されたリソースにアクセスできない場合、またはユーザーが保護されたリソースにアクセスできるがブロックする必要がある場合の対処方法について説明します。

Intuneと条件付きアクセスを使用すると、Exchange Onlineや SharePoint Online などの Microsoft 365 サービスやその他のさまざまなサービスへのアクセスを保護できます。 この機能を使用すると、Intuneに登録され、IntuneまたはMicrosoft Entra IDで設定した条件付きアクセス規則に準拠しているデバイスのみが会社のリソースにアクセスできることを確認できます。

条件付きアクセスの要件

条件付きアクセスを機能させるには、次の要件を満たす必要があります。

  • デバイスはモバイル デバイス管理 (MDM) に登録され、Intuneによって管理されている必要があります。

  • ユーザーとデバイスの両方が、割り当てられたIntuneコンプライアンス ポリシーに準拠している必要があります。

  • 既定では、ユーザーにデバイス コンプライアンス ポリシーを割り当てる必要があります。 これは、Intune管理ポータルの [デバイス コンプライアンス コンプライアンス ポリシー設定] の下にある [コンプライアンス ポリシーが割り当てられていないデバイス>をマークする] 設定の構成によって異なります。

  • Exchange ActiveSyncユーザーが Outlook ではなくデバイスのネイティブ メール クライアントを使用している場合は、デバイスでアクティブ化する必要があります。 これは、iOS/iPadOS デバイスと Android Knox デバイスに対して自動的に発生します。

  • オンプレミス Exchange の場合は、Intune Exchange コネクタを適切に構成する必要があります。 詳細については、「Microsoft Intuneでの Exchange コネクタのトラブルシューティング」を参照してください。

  • オンプレミスの Skype の場合は、ハイブリッド モダン認証を構成する必要があります。 「ハイブリッド モダン認証の概要」を参照してください。

各デバイスのこれらの条件は、Azure portalとデバイス インベントリ レポートで確認できます。

デバイスは準拠しているように見えますが、ユーザーは引き続きブロックされます

  • 適切なコンプライアンス評価のために、ユーザーにIntune ライセンスが割り当てられていることを確認します。

  • Knox 以外の Android デバイスには、ユーザーが受信した検疫メールの [ 今すぐ開始 ] リンクをクリックするまでアクセス権は付与されません。 これは、ユーザーが既にIntuneに登録されている場合でも適用されます。 ユーザーが電話のリンクを含むメールを受け取らない場合は、PC を使用してメールにアクセスし、デバイス上のメール アカウントに転送できます。

  • デバイスが最初に登録されると、デバイスのコンプライアンス情報が登録されるまでに少し時間がかかる場合があります。 数分待ってからもう一度お試しください。

  • iOS/iPadOS デバイスの場合、既存の電子メール プロファイルによって、そのユーザーに割り当てられた管理者が作成したIntuneメール プロファイルの展開がブロックされ、デバイスが非準拠になる可能性があります。 このシナリオでは、ポータル サイト アプリは、手動で構成された電子メール プロファイルのために準拠していないことをユーザーに通知し、そのプロファイルを削除するようにユーザーに求めます。 ユーザーが既存のメール プロファイルを削除すると、Intune電子メール プロファイルを正常に展開できます。 この問題を回避するには、登録する前に、デバイス上の既存のメール プロファイルを削除するようにユーザーに指示します。

  • デバイスがチェック コンプライアンス状態でスタックし、ユーザーが別のチェックを開始できなくなる可能性があります。 この状態のデバイスがある場合:

    • デバイスでポータル サイト アプリの最新バージョンが使用されていることを確認します。
    • デバイスを再起動します。
    • 問題がさまざまなネットワーク (携帯ネットワーク、Wi-Fi など) で引き続き発生するかどうかを確認します。

    問題が解決しない場合は、「Microsoft Intuneでサポートを受ける」の説明に従ってMicrosoft サポートにお問い合わせください。

  • 一部の Android デバイスは暗号化されているように見えますが、ポータル サイト アプリはこれらのデバイスを暗号化されていないと認識し、非準拠としてマークします。 このシナリオでは、デバイスのスタートアップ パスコードを設定するように求める通知がポータル サイト アプリに表示されます。 通知をタップし、既存の PIN またはパスワードを確認した後、[セキュリティで保護された起動] 画面で [デバイスの起動に PIN を要求する] オプションを選択し、ポータル サイト アプリからデバイスの [コンプライアンスの確認] ボタンをタップします。 これで、デバイスが暗号化として検出されます。

    注:

    一部のデバイス製造元は、ユーザーが設定した PIN の代わりに既定の PIN を使用してデバイスを暗号化します。 Intuneは、既定の PIN を安全でないとして使用する暗号化を表示し、ユーザーが新しい既定以外の PIN を作成するまで、それらのデバイスを非準拠としてマークします。

  • 登録され、準拠している Android デバイスは、最初に企業リソースにアクセスしようとしたときにブロックされ、検疫通知を受け取る可能性があります。 これが発生した場合は、ポータル サイト アプリが実行されていないことを確認し、検疫メールの [今すぐ開始] リンクを選択して評価をトリガーします。 これは、条件付きアクセスが最初に有効になっている場合にのみ行う必要があります。

  • 登録されている Android デバイスでは、"証明書が見つかりません" というメッセージが表示され、Microsoft 365 リソースへのアクセスが許可されない場合があります。 ユーザーは、次のように、登録済みデバイスで [ブラウザー アクセスを有効にする] オプションを有効にする 必要があります。

    1. ポータル サイト アプリを開きます。
    2. 三重ドット (...) またはハードウェア メニュー ボタンから [設定] ページに移動します。
    3. [ ブラウザー アクセスを有効にする] ボタンを選択します。
    4. Chrome ブラウザーで、Microsoft 365 からサインアウトし、Chrome を再起動します。
  • デスクトップ アプリケーションでは、Web ブラウザーまたは認証ブローカーに表示される認証プロンプトに依存する最新の認証方法を使用する必要があります。 パスワードを直接送信するスクリプトは、認証ブローカーを使用する場合にのみ、デバイスの ID の証明を提供できます。

デバイスがブロックされ、検疫メールが受信されない

  • デバイスがExchange ActiveSync デバイスとしてIntune管理コンソールに存在することを確認します。 そうでない場合は、Exchange コネクタの問題が原因でデバイスの検出が失敗している可能性があります。 詳細については、「Intune Exchange コネクタのトラブルシューティング」を参照してください。

  • Exchange コネクタは、デバイスをブロックする前に、アクティブ化 (検疫) メールを送信します。 デバイスがオフラインの場合は、アクティブ化メールが届かない可能性があります。

  • デバイス上の電子メール クライアントが、ポーリングの代わりに Push を使用して電子メールを取得するように構成されているかどうかを確認します。 その場合、ユーザーがメールを見逃す可能性があります。 [ポーリング] に切り替え、デバイスが電子メールを受信するかどうかを確認します。

デバイスは非準拠ですが、ユーザーはブロックされません

  • Windows PC の場合、条件付きアクセスでは、ネイティブメール アプリ、Office 2013 と先進認証、または Office 2016 のみがブロックされます。 以前のバージョンの Outlook または Windows PC 上のすべてのメール アプリをブロックするには、「方法: 条件付きアクセスでMicrosoft Entra IDするレガシ認証をブロックする」に従って、デバイス登録とActive Directory フェデレーション サービス (AD FS) (AD FS) の構成をMicrosoft Entraする必要があります。

  • デバイスがIntuneから選択的にワイプまたは廃止された場合は、削除後数時間も引き続きアクセスできる可能性があります。 これは、Exchange がアクセス権を 6 時間キャッシュするためです。 このシナリオでは、廃止されたデバイス上のデータを保護する他の方法を検討してください。

  • Surface Hub、一括登録、DEM に登録された Windows デバイスは、Intuneのライセンスが割り当てられているユーザーがサインインしたときに条件付きアクセスをサポートできます。 ただし、適切な評価を行うには、コンプライアンス ポリシーをデバイス グループ (ユーザー グループではなく) に展開する必要があります。

  • コンプライアンス ポリシーと条件付きアクセス ポリシーの割り当てを確認します。 ポリシーが割り当てられているグループにユーザーがいない場合、または除外されているグループ内にある場合、ユーザーはブロックされません。 コンプライアンスがチェックされるのは、割り当てられたグループ内のユーザーのデバイスのみです。

非準拠デバイスがブロックされていない

デバイスが準拠していないが、引き続きアクセスできる場合は、次のアクションを実行します。

  • ターゲット グループと除外グループを確認します。 ユーザーが適切なターゲット グループにいない場合、または除外グループに含まれている場合、ユーザーはブロックされません。 ターゲット グループ内のユーザーのデバイスのみがコンプライアンスをチェックされます。

  • デバイスが検出されていることを確認します。 ユーザーが Exchange 2013 サーバーにいる間、Exchange コネクタは Exchange 2010 CAS を指していますか? この場合、既定の Exchange ルールが [許可] の場合、ユーザーがターゲット グループに含まれている場合でも、Intuneはデバイスの Exchange への接続を認識できません。

  • Exchange でデバイスの存在/アクセス状態を確認します。

    • この PowerShell コマンドレットを使用して、メールボックスのすべてのモバイル デバイスの一覧を取得します。"Get-MobileDeviceStatistics -mailbox mbx" です。 デバイスが一覧に表示されていない場合は、Exchange にアクセスしていません。 詳細については、 Exchange PowerShell のドキュメントを参照してください。

    • デバイスが一覧表示されている場合は、'Get-CASmailbox -identity:'upn' を使用します。 |fl' コマンドレットを使用してアクセス状態に関する詳細情報を取得し、その情報をMicrosoft サポートに提供します。 詳細については、 Exchange PowerShell のドキュメントを参照してください。

アプリベースの条件付きアクセスに関するサインイン エラー

Intuneアプリ保護ポリシーは、Intuneで管理していないデバイスでも、アプリ レベルで会社のデータを保護するのに役立ちます。 ユーザーが保護されたアプリケーションにサインインできない場合は、アプリベースの条件付きアクセス ポリシーに問題がある可能性があります。 詳細なガイダンスについては、「 条件付きアクセスに関するサインインの問題のトラブルシューティング 」を参照してください。