Microsoft が Microsoft Entra Global Secure Access(GSA) を更新し、Entra 登録済みデバイス(Entra Registered Devices) を使った BYOD(Bring Your Own Device)シナリオへの正式対応を発表した。これにより、社員の個人デバイスを組織が完全管理しなくても、条件付きアクセスポリシーを適用した上で企業リソースへの安全なアクセスが可能になる。

「登録済み」と「参加済み」——デバイス管理の重要な違い

Entra のデバイス管理には大きく分けて 2 種類がある。

種別 概要 組織の管理権限

Entra Registered(登録済み) デバイスに信頼 ID を付与するが、組織はフル管理権限を持たない 限定的

Entra Joined(参加済み) 組織が完全管理。MDM ポリシーや構成プロファイルを適用可能 フル

Hybrid Joined(ハイブリッド参加済み) オンプレミス AD と Entra ID の両方に参加 フル

今回の BYOD 対応は「登録済み」デバイスを活用するもので、社員のプライバシーを守りながら企業セキュリティを担保するアプローチだ。個人のスマートフォンや私物 PC に MDM を全適用するのは現実的ではなく、これまで BYOD 対応が難しかった組織にとって選択肢が広がる。

仕組みのポイント:アイデンティティベースのアクセス制御

BYOD アクセスの実現フローは以下の通りだ。

  • デバイス登録 — Microsoft Authenticator や Intune Company Portal を使って個人デバイスを Entra ID に登録。この時点でデバイスに「信頼できる ID」が付与される
  • 条件付きアクセスポリシーの適用 — デバイスが登録済みであることを条件にアクセスを制御。未登録デバイスはブロック
  • Global Secure Access 経由でのトラフィック保護 — Private Access プロファイルを通じ、企業内部リソースへのアクセスを暗号化・保護

重要なのは、ネットワーク層ではなくアイデンティティ層で制御している点だ。従来の VPN のように「社内ネットワークに入れば何でもできる」という発想ではなく、「誰が・どのデバイスで・何にアクセスするか」を細かく制御する。

プラットフォーム別の対応状況

Windows

  • ドメイン非参加の「登録済みデバイス」をサポート
  • Private Access プロファイルの有効化が必須(管理者が明示的に設定する必要あり)
  • 登録されていないデバイスは初回サインイン時に自動登録される
  • Entra 参加済み・ハイブリッド参加済みデバイスは、参加したテナントに常時接続。テナント切り替えは非対応
  • 登録のみのデバイスは複数テナント登録可能。B2B コラボレーション経由でのリソーステナント切り替えに対応

Android

  • デバイスフル管理(Intune 登録)なしで対応可能
  • Microsoft Authenticator または Intune Company Portal でデバイスを登録
  • 登録後、Microsoft Defender アプリのインストールとサインインが必要
  • デバイス全体の VPN プロファイルが自動作成されるが、Global Secure Access 接続はデフォルト無効——ユーザーが手動でオンにする必要がある点に注意
  • Intune 登録済みデバイス(Company Portal)と未管理デバイス(Company Portal + Authenticator)の両方に対応

macOS

  • 同様に Entra 登録済みデバイスとして対応(元記事に詳細記載あり)

実務への影響——日本のハイブリッドワーク環境で何が変わるか

日本企業では「社給 PC 以外は認めない」というポリシーが今でも多い。しかし実態として、業務委託メンバーや副業人材、パート・アルバイトなど、社給デバイスを用意しづらいケースは増え続けている。

これまでの選択肢は概ね 3 択だった。

  • ①全員に社給デバイスを配る(コスト大)
  • ②VPN を使わせる(セキュリティ的に非推奨)
  • ③諦めてアクセス不可にする(業務効率悪化)

Entra GSA の BYOD 対応により、「デバイスは個人所有、アクセス制御は組織管理」 という第 4 の選択肢が現実的になった。特に以下のシナリオで効果が大きい。

  • 業務委託・フリーランスへの限定的なシステムアクセス提供
  • BYOD を認めつつ個人データへの接触を防ぎたい場合
  • 従業員のプライバシー配慮が法的・文化的に求められる環境

管理者向けの実装チェックポイント

  • Entra 管理センターの「デバイス登録設定」で個人デバイスの登録を許可しているか確認
  • Private Access プロファイルを対象ユーザーグループに割り当て済みか
  • 条件付きアクセスポリシーで「登録済みデバイス」を条件として組み込んでいるか
  • Android の場合、Microsoft Defender の展開・サインイン手順をユーザーに周知しているか(デフォルトオフなので注意)

筆者の見解

VPN はもう滅んでほしいと思っている。ネットワーク層で「社内に入れば信頼」という発想は、ゼロトラストの対極にある考え方だ。今回の Entra GSA の BYOD 対応は、そのアンチテーゼとして正しい方向を向いている。

特に評価したいのは、フル管理なしでも条件付きアクセスを適用できる点だ。「管理できないデバイスは禁止」というアプローチは、現実には抜け道を生むか業務効率を著しく落とすかのどちらかになる。使えるものを安全に使える仕組みを提供する方が、長期的に組織のセキュリティレベルは上がる。

一方、Android で Global Secure Access 接続がデフォルト無効になっている点は少し気になる。エンドユーザーに手動でオンにしてもらう運用は、徹底させるのが難しい。管理者がポリシーで強制できる仕組みが今後整備されることを期待したい。

ゼロトラストの本質は「誰も信頼しない、常に検証する」だが、それを実現するための摩擦をいかに下げるかが普及の鍵だ。この方向での継続的な改善を、引き続き応援していきたい。

出典: この記事は Microsoft Entra Global Secure Access Adds BYOD Support Using Entra Registered Devices の内容をもとに、筆者の見解を加えて独自に執筆したものです。