That depends: Office 365: Office 365 に許可されたデバイスでのみ利用させる方法

Office 365 に許可されたデバイスでのみ利用させる方法、デバイス認証というものをマイクロソフトが提供する機能だけで実現するためにはどうすれば良いか、調べてみたらいろいろとややこしかったので自分なりにメモを残しておこうと思います。

※ 脳内整理のメモ書きなのでご了承ください。
※ 間違った認識の部分もあるかもしれません、ご了承ください。
※ クライアント側もADALに対応したアプリを使用している事を前提としてます。

ライセンス的な結論としては、今後このパターンで Azure AD Premium は必須ですね。
iOS/Android端末まで考慮すると、Intune も必要になりそうです。(そうなるとEMSですか・・・)

基本的には Active Directory Federation Service (ADFS) を念頭において考えてます。
その上で、ADFSを構築しないパターンも考えてみました。

登録されたデバイスのみ許可をするという事なので、やはり、「デバイスをどうやって登録するのか？」という点と、「登録したデバイス情報をどこに保管するか？」という点になるかと思います。

また、ちなみに制御する場所としては、
・ADFS で、認証アクセスしてきた際に登録済みデバイスかどうか制御する
・Azure AD で、条件付きアクセスで登録済みデバイスかどうか制御する

ADFSで制御するためには、Active Directory(AD)でデバイスを管理する必要があります。

考慮ポイントを纏めてみました。

■Windows端末の場合

【ADFSでデバイス認証する場合】
・ADFS2012R2にはデバイス登録する仕組み(DRS)が提供されていたがADFS2016ではなくなってる(ノンサポート)
・Windows 10 は ADFS2012R2のデバイス認証には対応していない。
・Azure ADにもデバイスを登録する仕組みがあり、Windows 10 や iOS/Android にのみ対応しており、Azure AD へデバイス登録が可能
　⇒ Azure AD に登録されたデバイス情報は Azure AD Connect (同期サーバー)経由でADに“ライトバック”(デバイスの書き戻し) できる
　　※ ライトバックを使うには Azure AD Premium ライセンスが必要。
　　⇒ AD に Windows 10 をデバイス登録するためには、Azure AD へデバイス登録した情報をライトバックするしかない

【Azure ADの条件付きアクセスでデバイス認証する場合】
・オンプレADのドメインに参加済みのクライアントOSを、Azure ADにもデバイス登録する”ハイブリッドAD参加”を構成
　⇒ "ハイブリッドAD参加"する事で Azure AD Premium で提供される「条件付きアクセス」の「デバイス認証」機能の ”ハイブリッドAD参加で登録済みデバイス” という条件用として使える

　※　“ハイブリッドAD参加” の利用条件として “Windows 統合認証” があり、この条件を満たすためには以下のいずれかの構成を組む必要がある
　　　・社内にADFS を構成する
　　　・社内に Azure AD Connectのオプションである “シームレスSSO” を構成する
　※　“ハイブリッドAD参加” の利用条件として Windows 7 以前の端末の場合、追加モジュール(.msi)を端末に配る必要がある

■iOS/Android端末の場合

【ADFSでデバイス認証する場合】
・ADFS2012にはデバイス登録する仕組み(DRS)が提供されていたがADFS2016ではなくなってる(ノンサポート)
・ADFS(2012まで) のデバイス登録する仕組み(DRS)に対して iOS/Android からWorkplace Joinを使ってADへのデバイス登録
・Azure ADにもデバイスを登録する仕組みがあり、Windows 10 や iOS/Android にのみ対応しており、Azure AD へデバイス登録が可能
　⇒ Azure AD に登録されたデバイス情報は Azure AD Connect (同期サーバー)経由でADに“ライトバック”(デバイスの書き戻し) できる
　　※ ライトバックを使うには Azure AD Premium ライセンスが必要。

【Azure ADの条件付きアクセスでデバイス認証する場合】
・Azure AD Premium の「条件付きアクセス」で使える「デバイス認証」の条件が、「ハイブリッドAD参加」か「準拠するデバイス」という２つの条件
　　⇒ 「ハイブリッドAD参加」は Windows 端末の為のもの (オンプレADへのドメイン参加が必要)
　　⇒ iOS/Androidは「準拠するデバイス」の方を使うしかない
　　　⇒ 「準拠するデバイス」の「準拠」の証明を得るためには、Intune の管理下にデバイスを置く必要がある
　　　　⇒ 「Azure AD Premium」の「条件付きアクセス」でデバイス認証するためには、iOS/Android用にIntuneの契約も必要

それぞれの具体的な方法(ADFSのDRSの構成、WorkPlaceJoin、ハイブリッドAD参加など)は Microsoft の各種情報を参照頂ければと思います。

↓本Blog の内容をきれいに纏めてある記事がありました。。。

デバイスベースのアクセス制御

https://blogs.technet.microsoft.com/jpazureid/2018/01/25/device_access/

その他、下記のサイトも参考にさせて頂きました。

オンプレミスのデバイスベースの条件付きアクセスを計画する

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/deployment/plan-device-based-conditional-access-on-premises

[Always on the clock] Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるようにする

http://azuread.net/2013/09/17/windows-server-2012-r2%e3%82%92%e4%bd%bf%e3%81%a3%e3%81%a6ios%e3%81%a0%e3%81%91%e3%81%8coffice365%e3%81%ab%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%a7%e3%81%8d%e3%82%8b%e3%82%88%e3%81%86%e3%81%ab-2/