ある企業のセキュリティ管理者が、リモートワーク中の社員が会社所有のデバイスから社内アプリにアクセスする際はMFAを不要とし、個人デバイスからのアクセスには必ずMFAを要求するポリシーを設定したい。最も適切な方法はどれか。
- A. Entra ID Protectionのリスクポリシーで個人デバイスをリスクありとマークする
- B. 条件付きアクセスポリシーで、デバイスのコンプライアンス状態を条件に含めMFAを制御する
- C. 各社員のアカウントの認証設定でMFA要否を個別に切り替える
- D. グループポリシーオブジェクト(GPO)で会社デバイスにMFA免除設定を展開する
解答と解説を見る
正解: B
条件付きアクセスはユーザー、デバイスの状態、場所、アプリなど複数の条件を組み合わせてアクセスポリシーを動的に制御できる。Intuneに登録された会社所有のコンプライアントデバイスはMFA免除とし、非コンプライアントデバイスや個人デバイスにはMFAを要求するポリシーを1つのポリシーで表現できる。選択肢AのEntra ID Protectionは不正なサインインのリスクを検出するが、デバイス所有者の区別に基づくMFA制御には使用しない。選択肢DのGPOはオンプレミスのAD環境向けであり、クラウドのMFA制御には直接使えない。選択肢Cの個別設定は管理コストが高く、条件付きアクセスのような動的なポリシー制御ができない。