次の方法で共有

Windows 365 Linkの条件付きアクセス ポリシー

  • [アーティクル]

Windows 365 Linkをサポートするようにorganizationの環境を設定する一環として、条件付きアクセス ポリシーが Windows Cloud PC デバイスからのログインと接続の両方に対応していることを確認する必要があります。 「Windows 365の条件付きアクセス ポリシーを設定する」の説明に従って、Windows 365クラウド PC へのアクセスに使用されるリソースを条件付きアクセスで保護する場合は、デバイスを登録または参加するためのユーザー アクションを保護するために、一致する別の条件付きアクセス ポリシーも使用する必要があります。

  1. ユーザーが対話型サインイン画面Windows 365 Linkサインインすると、デバイス登録サービスに対してアカウントが認証されます。
  2. Windows 365 Linkは、他の必要なクラウド リソース (Microsoft Graph やシングル サインオン (SSO) を使用したWindows 365 サービスなど) に対してサイレント認証を行います。

Windows 365 クラウド PC デバイスには、認証の 2 つの異なるステージがあります。

  • 対話型サインイン: ユーザーがWindows 365 Linkサインイン画面でサインインすると、デバイス登録サービスを使用して認証トークンが取得されます。
  • 非対話型接続: ユーザー サインインから取得したトークンは、Windows 365 サービスなどの他のクラウド アプリ リソースに接続するときに非対話型サインインを実行するために使用されます。

Windows 365 Link デバイスからのサインインでは、すべてのリソース (以前のクラウド アプリ) を対象とする条件付きアクセス ポリシーや、Device Registration Service リソースへの直接の条件付きアクセス ポリシーはトリガーされません。 また、非対話型接続では、これらの要件を満たすようユーザーに求めることはできません。

条件付きアクセス ポリシーがWindows 365リソースのいずれかに割り当てられている場合は、同じアクセス制御設定を持つ別のポリシーも、デバイスを登録または参加するためのユーザー アクションに適用する必要があります。 このポリシーは、対話型サインインをトリガーし、接続に必要な要求を取得できます。

一致するポリシーのセットがないと、接続が中断され、ユーザーはクラウド PC に接続できません。

これらのアクティビティは、Entra 条件付きアクセス サインイン ログで確認できます。

  1. Microsoft Entra 管理センター>Protection>Conditional Access>Sign-in ログにサインインします
  2. [ ユーザー サインイン (対話型)] タブで 、フィルターを使用してサインイン画面からイベントを検索します。
  3. [ ユーザー サインイン (非対話型)] タブで 、フィルターを使用して接続からイベントを検索します。

対話型サインイン用の条件付きアクセス ポリシーを作成する

  1. Microsoft Entra 管理センター>Protection>Conditional Access>Policies>What if にサインインします。
  2. [ ユーザーまたはワークロード ID] で、テストするユーザーを選択します。
  3. [クラウド アプリ、アクション、または認証コンテキスト] で、[ 任意のクラウド アプリ] を選択します。
  4. [ ターゲットの種類の選択] では、[ クラウド アプリ ] を選択したままにします。
  5. [ アプリの選択 ] を選択し、使用可能な場合は次のリソースを選択します。
    • Windows 365 (アプリ ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5)。
    • Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07)。
    • Microsoft リモート デスクトップ (アプリ ID a4a365df-50f1-4397-bc59-1a1564b8bb9c)。
    • Windows クラウド ログイン (アプリ ID 270efc09-cd0d-444b-a71f-39af4910ec45)。
  6. [ What If]\(What If\) を選択します。

適用される各ポリシーを確認し、それらのリソースとセッション設定へのアクセスを許可するために使用されるアクセス制御を決定します。

同じアクセス制御を使用して、 デバイス登録に MFA を要求 する新しい条件付きアクセス ポリシーを作成できるようになりました。

  1. Microsoft Entra 管理センター>Protection>Conditional Access>Polices>New ポリシーにサインインします
  2. ポリシーに名前を付けます。 ポリシー名に意味のある標準を使用することを検討してください。
  3. [ 割り当て>ユーザー] で選択した 0 人のユーザーとグループを選択します
  4. [含める] で、[すべてのユーザー] を選択するか、Windows 365 Link デバイスを介してサインインするユーザーのグループを選択します。
  5. [除外] で、[ユーザーとグループ] を選択>organizationの緊急アクセスまたは割り込みアカウントを選択します。
  6. [ ターゲット リソース>ユーザー アクション] で、[デバイスの 登録または参加] を選択します。
  7. [ アクセス制御>Grant] で、What If ツールを使用して前に見つけたのと同じコントロールを使用します。
  8. [ アクセス制御>Session] で、What If ツールを使用して前に見つけたのと同じコントロールを使用します。
  9. 設定を確認し、[ ポリシーの有効化] を[レポートのみ] に設定します。
  10. [作成] を選択します。
  11. レポート専用モードを使用して設定を確認したら、[ポリシーの 有効化] トグルを [レポートのみ ] から [オン] に変更します。

競合の可能性など、デバイス登録の条件付きアクセス ポリシーの作成の詳細については、「デバイス登録 に多要素認証を要求する」を参照してください。

条件付きアクセスを使用したユーザー アクションの詳細については、「 ユーザー アクション」を参照してください。

Windows 365に使用されるリソースの条件付きアクセス ポリシーの作成の詳細については、「条件付きアクセス ポリシーの設定」を参照してください。

次の手順

シングル サインオンの同意プロンプトを抑制します。