昨今、社給のデバイスでしか仕事をさせたくないという要件が多くなってきていると思います。これに対応するための仕組みがデバイス認証(デバイストラスト)です。
Azure ADでデバイス認証してみる
では、AzureADでデバイス認証をさせるにはどうしたら良いのか?ということなのですが、こちらの資料がすごく分かりやすかったです。
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
一般的なデバイス認証は、証明書を持っているか、かつその証明書が有効化どうかというところをチェックしますが、
Azure ADによるデバイス認証は、デバイスがIntuneに登録済みか、かつコンプライアンスポリシーに準拠しているかどうかというところを確認します。
実装方法
では実装してみます。実装の流れは紹介させて頂くパワポを見ていただくのがベストかと思いますので、ここでは条件付きポリシーの編集のところだけ書いておきます。過去記事で作成した条件付きアクセスのポリシーを編集する形でやっていきます。
下図のような形で、
- 「デバイスは準拠しているとマーク済みである必要があります」にチェック
- 「選択したコントロールすべてが必要」を選択
- 「選択」からの「保存」
とします。
すでに設定されているので割愛していますが、緊急用アカウントを除外するようにしましょう(締め出され防止)。
さて、テスト結果ですが、コンプライアンスポリシーに準拠しない端末からEdgeを利用してクラウドサービスにアクセスすると、以下のようにエラーになりました。Windows365 BusinessはBitlockerがデフォルトで無効なので、それを準拠しない環境として利用した形です。
ちなみにデバイスが準拠済みかどうかは、コンプライアンスポリシーで基準を作成する必要があります。また、コンプライアンスに準拠しているかどうかはIntuneが拾ってくるので、Intuneへの登録も必要です。あとは、BYODのデバイスから勝手にIntuneに登録できないようにする必要もあります。これらについては後日追記させていただこうと思います。
このドキュメントの [コンプライアンス非対応に対するアクション] あたりはお恥ずかしながら知らなかったので、試してみたいです。
Microsoft Intune でデバイス コンプライアンス ポリシーを作成する | Microsoft Docs
なぜデバイストラストをやりたいのか?
さて、このデバイストラストのお話ですが、情シス界の神YouTube、クラウドネイティブさんのチャンネルでも取り上げられていました。
こちらのYouTubeでお話頂いている通り、確かに「なぜデバイストラストをやりたいのか?」というのはすごく重要な気がします。
社給デバイスだけしか組織のデータにアクセスさせたくないんや!というのが要件であれば、デバイストラストが一択ではなく、たとえば『オフィスやVPN接続時のMACアドレス認証+SaaS側でグローバルIP制限(オフィスのインターネット出口のGIPを指定)』でも要件は実現できると思うので、そういった他の方式とのメリデメ比較が必要になると思います(運用負荷などを含めて)。