更新情報 (2019/11/22)
マイクロソフトではこの問題に対応するため条件付きアクセスの動作を更新しました。現在、条件付きアクセスは iPadOS を macOS としてではなく、iOS として認識します。このため、iOS に対して適用した条件付きアクセス ポリシーは iPadOS の更新前と同じように適用されます。
Safari と Apple のネイティブ メール アプリで依然として挙動が異なる場合は、一度ネイティブ メール アプリからサインアウトおよびサインインしなおして動作をご確認ください。また下記資料に記載のとおり、条件付きアクセスの認証セッション管理をご利用いただくことも可能です。その他の詳細については以下の資料をご覧ください。
Action Required: Evaluate and update Conditional Access policies after new iPadOS release
https://support.microsoft.com/en-us/help/4521038/action-required-update-conditional-access-policies-for-ipados
当初の公開内容
皆さんこんにちは、Azure AD サポート チームの高田です。
本日は、iPad を iOS13 にアップグレードした際に生じる、Azure AD 条件付きアクセス ポリシーへの影響についてお知らせいたします。詳細については、上記の資料にも公開されておりますが、機械翻訳となりますので本ブログでも概要について案内させていただきます。
変更内容の概要
Apple 社では 9 月 30 日に iPadOS (iPad 用の新 OS) のリリースを予定しています。本リリースにより新しい iPadOS にアップデートされた iPad では、Safari ブラウザーやネイティブのメール アプリが自身の OS を iOS ではなく、macOS として通知 (User Agent を提示) するようになります。つまり、新しい iPadOS にアップグレードした iPad は、iOS ではなく、macOS として認識されることとなります。
変更により生じうる影響
これにより、これまで Azure AD 条件付きアクセス ポリシーにて “デバイス プラットフォーム” を iOS として選択していても、新しい iPadOS にアップデートした iPad ではこの “デバイス プラットフォーム” = iOS の条件に合致しなくなります。結果として、iOS 用に定義した多要素認証などのアクセス制御が動作しなくなます。
条件付きアクセス ポリシーにおいて、デバイス プラットフォームとして iOS と macOS とで異なるアクセス制御を実施している場合、iPad が macOS として認識されることで予期せぬ動作を招く可能性があります。このため、上述の動作を考慮の上、macOS に対しても適切なポリシー設定をご検討ください。恐れ入りますが、Apple 社の本動作変更により、条件付きアクセス ポリシーでは iPad と macOS を区別することは困難となります。
なお、より詳細な影響範囲や影響が発生しうるシナリオの例などは上記サポート技術情報のページにまとめられておりますのでご参照ください。また本内容についてより詳細の確認が必要な際は Azure ポータルから Azure AD サポートチームまでお問い合わせを頂戴できればと思います。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。