20260430_EntraIDデバイス認証って？

Entra IDのデバイス認証って何ですか？ 信頼するデバイスをEntra IDに識別させてアクセス制御する方法！ 2026/4/30 YonaYona Entra ID Night

AGENDA • 自己紹介 • デバイス認証とは？ • プラットフォーム • Entra Hybrid Joined • Intune準拠済み • CBA • More on … my blog!

自己紹介 名前 仕事 ブログ 趣味 sh o ko late 都内 S Ier S E q iita. co m /sh ok ola te ピラテ ィス、ピアノ M ic ros oft 基盤 導入設 計 (In tu ne , E ntr a I D, En tra C on ne ct など ) In tun e, E ntra , D e fen de r • 検証まとめ • 案件ノウハ ウ • ニュー スまとめ • イベン トレポー ト

導入：デバイス認証とは？ ゆるふわ解説！

デバイス認証って何？ 認証 条件付きアクセスポリシー クラウドリソース Microsoft Entra ID アクセスブロック 野良デバイス アクセス許可 組織のデバイス 組織が管理する信頼するデバイスからのみ、組織のリソースへのアクセスを許可したい！ という希望にこたえた認証制御

デバイス認証を実現するには 1. プラットフォームベースの制御 2. Entra Hybrid Joined状態による制御 3. Intuneコンプライアンスポリシー準拠状態による制御 4. CBA（Certificate Based Authentication）＝証明書ベースの制御

1. プラットフォームベースの制御 (1/2) 条件付きアクセスポリシー プラットフォーム条件 (Win/iOS・iPadOS/Android) クラウド リソース 認証 Microsoft Entra ID 組織が利用していないOS を接続元とするアクセスは、 一律ブロックする アクセス要求 組織のデバイス Windows 組織が利用しているOSを 接続元とするアクセスは、 許可する Linux macOS 野良デバイス ChromeOS ※MS製品ではOSをプラットフォームというあるある (わかりづらい) iOS/iPadOS Android

1. プラットフォームベースの制御 (2/2) 条件付きアクセスポリシー プラットフォーム条件 (Win/iOS・iPadOS/Android) クラウド リソース 認証 Microsoft Entra ID 組織が利用していないOS を接続元とするアクセスは、 一律ブロックする アクセス要求 組織のデバイス Windows 組織が利用しているOSを 接続元とするアクセスは、 許可する Linux macOS OSだけでは広すぎる！ 他の制御と組み合わせる！ 野良デバイス ChromeOS iOS/iPadOS 野良デバイス Windows iOS/iPadOS Android Android

2. Entra Hybrid Joined状態による制御 同期 条件付きアクセスポリシー Entra Hybrid Joined クラウド リソース 認証 Microsoft Entra ID 野良のWindowsデバイスは Entra ハイブリッド参加していないため、 アクセスがブロックされる アクセス要求 Entra ハイブリッド参加済み 組織のWindowsデバイスは Entra ハイブリッド参加しているため、 アクセスが許可される Entra Connect 組織のデバイス AD参加済み 野良デバイス ADDS ※ハイブリッド参加はWindowsのみ対応

3. Intuneコンプライアンスポリシー準拠状態による制御 MDMの機能 コンプライアンスポリシー 条件付きアクセスポリシー 準拠済みデバイス クラウド リソース Microsoft Entra ID Microsoft Intune Entra 参加/登録 野良デバイス （Intuneに登録されてい ない端末）は、 コンプライアンス準拠し ていないため、 アクセスブロックされる 構成プロファイル 認証 Intuneデバイス登録 アクセス要求 組織のデバイスはIntuneに登録 されており、 コンプライアンスポリシーで 定義されたセキュリティ基準 （最小OSバージョンなど）を 満たすと「準拠している」と 評価され、アクセス許可される 組織のデバイス デバイスのコンプライアンス準拠状態評価、構成 野良デバイス だからおすすめ！ ※IntuneにMDM登録されたWindows、macOS、Linux、iOS/iPadOS、Androidがコンプライアンスポリシーに対応

ENTRAとINTUNEによるデバイス管理を実施していない例 1. MDMを使っているが、Intuneではない 例：コロナ禍や働き方改革を契機にMDMを導入した！が、Intuneではない。 ※ このケースではのちにライセンス最適化のためにIntuneに寄せることを計画する企業も多い 2. IntuneのMAM（アプリ保護）を使っているが、MDMは使っていない 1. の派生形 3. オンプレドメインに参加させているが、Entraには参加させていない クラウド導入が進んでいない、 何らかの理由で (予算の都合上など) Entra Connectの導入ができずハイブリッド構成もできてい ない、など

4. CBA（Certificate Based Authentication）＝証明書ベースの制御 ルート証明書アップロード 条件付きアクセスポリシー 証明書インストール済み デバイス クラウド リソース 認証 Microsoft Entra ID 組織のデバイスには 事前にユーザー証明書を インストールする アクセス要求 野良デバイスには ユーザー証明書が インストールされていないため、 アクセスブロックされる Entra参加、Intune登録不要！ 証明書を提示することで、 アクセスが許可される ADCSなどのシステムから 証明書を発行する 組織のデバイス 証明書発行、展開 野良デバイス ※CBAはWindows、macOS、iOS/iPadOS、Androidに対応 MDM (モバイルデバイス管理) システムなどのデバイス管理機関から 証明書を展開する

まとめ：デバイス認証を実現するには 1. プラットフォームベースの制御 OSの単位で利用しない端末をブロック！ でも許可もOS単位になるから、ほかの制御と組み合わせて使うよ！ 2. Entra Hybrid Joined状態による制御 ハイブリッド管理を導入しているWindows centricな組織に！ Intune導入済みなら断然こちら！ 3. Intuneコンプライアンスポリシー準拠状態による制御 4. CBA（Certificate Based Authentication）＝証明書ベースの制御 Entra参加もIntune登録もやってない (できない) のォォォ そんなぁ….🥹 でも待って！ ｳﾁらにはまだCBAがある！！！

More on… 今日の内容にご興味があれば、こちらも！

MORE ON… 野 良デ バイ ス 対 策例 CBAの検 証T IP S 【野良デバイ ス対策】承認したデ バイスに限定 して 利用許 可する！ #MICROSOFT36 5 Q I I TA 【 検 証 用 】 A DC S で サ ク ッ と E NT RA I D 証 明 書 認 証 ( C B A) を 試 す ！ 【 W I N DO W S 】 # S E C U RI T Y - Q I I TA

• https://qiita.com/shokolate/items/a41c028ff88b595afe09
• https://qiita.com/shokolate/items/05d56955caf0d56d7bf9

CBA検証環境 (for Windows) Microsoft 365 Azure Microsoft Entra ID Windows Server 2022 AD DS domain.com ディレクトリ統合 グループ: CBA Enabled Users [email protected] Entra Connect 認証局 (クラシック) Root.cer AD CS (Certificate Authority) 認証方法ポリシー: 証明書ベースの認証 Root.cer User cert template ド メ イ ン 参 加 User cert イ ン ス ト ー ル ターゲット: CBA Enabled Users CRL検証を必須にする: □ 発行者ヒント: □ 既定の認証強度: 多要素 認証強度: CBA 合わせる! • 認証方法: 証明書ベースの認証 (多要素) • 証明書の発行者: <アップロードしたオンプレ基盤の証明書発行者> Windows 11 サインイン • • • • [email protected] 条件付きアクセスポリシー: Require CBA サ イ ン イ ン • ターゲット ユーザー/グループ: CBA Enabled Users • ターゲット リソース: すべてのクラウドアプリ (Microsoft Intuneは除外) • アクセス制御: 許可 – 認証強度が必要 - CBA クラウド リソース

CBA検証環境 (for Android) Azure Microsoft 365 Windows Server 2022 AD DS domain.com ディレクトリ統合 Microsoft Entra ID グループ: CBA Enabled Users Entra Connect [email protected] AD CS (Certificate Authority) 認証局 (クラシック) Root.cer Root.cer ド メ イ ン 参 加 クラウド リソース 認証方法ポリシー: 証明書ベースの認証 User cert template ターゲット: CBA Enabled Users 近日公開！！ CRL検証を必須にする: □ 発行者ヒント: □ User cert 【検証用】ADCSでサクッとEntra ID証明書認証(CBA)を試す！【Android】 既定の認証強度: 多要素 イ ン ス ト ー ル • • • • Windows 11 (VM) フ ァ イ ル コ ピ ー サインイン [email protected] サインイン 認証強度: CBA 合わせる! • 認証方法: 証明書ベースの認証 (多要素) • 証明書の発行者: <アップロードしたオンプレ基盤の証明書発行者> ファイル転送 条件付きアクセスポリシー: Require CBA Windows 11 (物理) Android サインイン • ターゲット ユーザー/グループ: CBA Enabled Users • ターゲット リソース: すべてのクラウドアプリ (Microsoft Intuneは除外) • アクセス制御: 許可 – 認証強度が必要 - CBA

THANK YOU 後日発表原稿をブログにして公開する予定です