条件付きアクセスで、「承認されたクライアントアプリ」という条件が使えなくなる

4/16/2023

Azure AD Intune Microsoft 365

条件付きアクセスのうち、2026年に「承認されたクライアントアプリ」での制御は廃止だそう。アプリ保護ポリシーに切り替えて、とのこと。


https://learn.microsoft.com/ja-jp/azure/active-directory/conditional-access/migrate-approved-client-app

(2023年4月2日時点では日本語化されていませんでした)


自分なりの解釈を、まとめてみました。


何が変わるのか

ざっくり、「条件付きアクセスの制御で、承認されたクライアントアプリという条件はつかえなくなります。2026年3月な」というもの。

iOSやAndroidのMDMとしてIntuneを導入しているケースでは、影響受ける場合があるかも。


条件付きアクセスは、Azure AD Premierで利用できる機能で、

  • クラウドアプリ
  • OS
  • 場所(IP)
  • デバイスの状態
  • クライアントアプリ
  • セキュリティ条件をある一定以上満たしているか

などで、認可するorブロックする、と条件付きで、アクセス制限を行える便利機能。


超ざっくりで、このクライアントアプリの条件のうち、これまで使えていた条件の1つが利用不可になる。


何をしなきゃいけないか

ざっくり、iOSやAndroidの条件付きアクセスで「承認されたクライアントアプリを必要とする」という条件を利用している場合は、条件を変更してね、というもの。

ただし、ぜんぶが全部というわけではなく、「アプリ保護ポリシーを利用している場合」だけ。


とりあえず、条件付きアクセスの条件を変更する必要あり。「承認されたクライアントアプリを必要とする」という条件を利用している場合は、「アプリ保護ポリシーを必要とする」という条件に変更しなきゃダメ。


ひょっとしたら、一部のユースケースではアプリ保護ポリシーを見直ししたほうがいいかも。


アプリ保護ポリシーって

Intuneのセキュリティ機能の1つ。たとえば、「特定のアプリからほかのアプリにペーストや共有禁止」「特定のアプリからファイルをローカルに保存するのを禁止」とか制御できる。

https://learn.microsoft.com/ja-jp/mem/intune/apps/app-protection-policy


ただし、使えるアプリは限定されてて、Microsoft 365 系のアプリと、あとはごく一部。

https://learn.microsoft.com/ja-jp/mem/intune/apps/apps-supported-intune-apps


なぜ安全になるのか

特定のアプリ=情報持ち出しを制御できない
アプリ保護ポリシー適用=情報持ち出しを制御できる

だからです。





情報の持ち出しリスクに対してケアしたいなら、この対応急ぎたいですね。