必要な操作: iPadOS の起動に備えて条件付きアクセス ポリシーを評価および更新する

適用対象: Azure Active Directory

概要


Apple は最近、 2019 年 9 月 30 日に iPadOS (iPad 用の新しい OS) を発売すると発表しました。 このリリースでは、組織で条件付きアクセス ポリシーを使用する Microsoft Azure AD および Intune のお客様に影響を与える可能性のある変更が導入されていることが判明しました。 この通知は、Apple の重大な変化を理解し、組織への影響を評価するのに役立ちます。 この通知には、Microsoft からの推奨事項も示されています。

重大な変更の概要

iOS 13 以降に更新するすべての iPad の OS は、iOS から iPadOS に更新されます。 iPadOS は iOS と同様に動作しますが、動作が異なる重要なアプリがいくつかあります。 たとえば、Safari は macOS として表示され、iPadOS ユーザーが完全なデスクトップ ブラウザー エクスペリエンスを得るようにします。

重大な変更の影響を受ける可能性のあるアプリ

この変更は、条件付きアクセスを使用し、iOS アプリではなく macOS アプリとして識別するアプリに影響します。 条件付きアクセス ポリシーを確認する際には、macOS と iOS の間で異なるアプリ エクスペリエンスを提供するかどうかに重点を置く必要があります。 さらに、影響を受けるアプリ カテゴリーを使用する Azure AD の条件付きアクセス ポリシーを確認する必要があります。

重大な変更は、次のシナリオで iPadOS を実行している iPad での条件付きアクセス ポリシーの適用に影響します。

  • Safari ブラウザー を使用した Web アプリケーションへのアクセス
  • Apple ネイティブ メール アクセス
  • Safari ビュー コントローラーを使用するネイティブ アプリケーション アクセス

このような場合、Azure AD 条件付きアクセスは、すべてのアクセス要求を macOS アクセス要求として扱います。

 

次のアクセス シナリオには影響しません

マイクロソフトの推奨事項を確認する前に、影響を受ける可能性のあるいくつかのシナリオについて説明します。

シナリオ 結果
iOS デバイスでの電子メール アクセス用に "承認済みクライアント アプリが必要" という条件付きアクセス ポリシーを設定しましたが、macOS 用に構成されたポリシーはありません。 この場合、iPad が iPadOS を更新した後、前に説明したように、影響を受けるアプリ カテゴリーに対して承認済みのクライアント アプリ ポリシーは適用されません。
iOS デバイスを使用して会社のリソースにアクセスするために、"準拠デバイスが必要" という条件付きアクセス ポリシーを設定しました。 ただし、macOS ポリシーを設定していません。 iPad が iPadOS に更新された後、ユーザーは、影響を受けるアプリ カテゴリーのアプリを非対応の iPad から使用して、会社のリソースにアクセスできます。
Outlook Web Access などの Office365 Web サイトにアクセスするために、iOS デバイスで "MFA が必要" という条件付きアクセス ポリシーを設定しました。 ただし、対応する macOS ポリシーを設定していません。 iPad が iPadOS に更新された後、ユーザーは多要素認証 (MFA) の入力を求められることなく、影響を受けるアプリ カテゴリーのアプリを使用して、Office365 Web サイトなどにアクセスできます。
iOS デバイス用に "準拠デバイスが必要"、macOS デバイス用に "MFA が必要" の条件付きアクセス ポリシーを設定しました。 iPad が iPadOS に更新された後、ユーザーは、影響を受けるアプリ カテゴリーのアプリを非対応の iPad から使用して、会社のリソースにアクセスできるようになりました。

 

これらは、iOS の条件付きアクセス ポリシーが macOS の条件付きアクセス ポリシーと異なる場合の例にすぎません。 ポリシーでこのようなケースをすべて特定する必要があります。

マイクロソフトの推奨事項

次のアクションを実行することをお勧めします。

  1. iPad デバイスからのアクセスを制御する iOS 用のブラウザー ベースの Azure AD CA ポリシーがあるかどうかを評価します。 次の手順を実行します。
    1. 同等の macOS Azure AD ブラウザー アクセス ポリシーを作成します。 "準拠デバイスが必要" ポリシーを使用することをお勧めします。 このポリシーは、iPad デバイスと Mac デバイスを Microsoft Intune (macOS 管理ツールとして選択した場合は JAMF Pro) に登録し、ブラウザー アプリが準拠デバイスからのみアクセスできるようにします (最も安全なオプション)。 また、macOS の Intune デバイス コンプライアンス ポリシーを作成する必要もあります。
    2. ブラウザーへのアクセスに macOS および iPadOS に対して "準拠デバイスを要求する" ことができない場合は、そのようなアクセスに対して "MFA が必要" であることを確認してください。
  2. 使用条件 (デバイスごとの同意) ベースの Azure AD 条件付きアクセス ポリシーが iOS 用に構成されているかどうかを確認します。 その場合は、macOS に対して同等のポリシーを作成します。

その他の更新プログラム

Apple からの、この重大な影響を最小限に抑え、お客様の条件付きアクセス ポリシーに影響を与える他の選択肢を引き続き検討しています。 詳細については、わかりしだいこの資料に掲載する予定です。

詳細については、Microsoft サポートにお問い合わせください。