「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Microsoft 365 ここだけは要確認!
Microsoft 365の基本認証と先進認証~後編~ クラウド

2022年7月13日

後編:「情報漏えい事故を防ぐ肝!基本認証・先進認証の設定例」

はじめに

テレワークの急速な推進を背景として、Microsoft 365や Slackなどのクラウドサービスを活用する企業や組織が急増しています。
反面、クラウドサービスの普及が進むとともに、クラウドサービスの情報漏えい事故なども増加しています。
本コラムでは、 特に利用が進むMicrosoft 365のインシデント事例と特に多い設定不備の例として、
前編で基本認証と先進認証を解説し、後編で適切な設定例を解説していきます。
前編:「情報漏えい事故を防ぐ肝! 基本認証・先進認証って何?」はこちら別ウィンドウで開きます

後編の今回のコラムでは、基本認証・先進認証の設定例を紹介します。

設定の確認箇所

先進認証は2021年頃から発行されているテナントでは、デフォルトで有効となっています。
しかしながら、それ以前に発行されたものは有効でない可能性があるため注意が必要です。

設定の流れとしては、
 1.Exchange Onlineの先進認証を有効化する
 2.先進認証を有効化した後も、基本認証を使っているアプリやサービスを確認する。
 3.対象のアプリやサービスをアップデートする。
 4.SharePointの基本認証を無効化する。
 5.条件付きアクセスにて、全ての基本認証をブロックする。(AzureAD P1もしくはP2契約者のみ設定可能)

となります。それぞれの具体的な設定について、詳しく見ていきましょう。

まずは、Exchange Onlineの先進認証が有効化されていることを確認します。

Exchange Onlineの先進認証設定

1. Microsoft 365 管理センター へ移動します
2. 左側のメニューから「設定」→「組織設定」を選択します
3. 上部の「サービス」タブが選択されていることを確認します
4. スクロールして、下の方にある「先進認証」を選択します
5. 「Outlook 2013 for Windows 以降の先進認証をオンにする(推奨)」にチェックが入っていることを確認します
6. 「基本認証プロトコルへのアクセスを許可する」以下にある、「Outlook クライアント」から
 「Exchange Online PowerShell」等の全てにチェックが入っていないことを確認します

続いて、基本認証を使っているアプリやサービスを確認します。

1. Microsoft 365 管理センター へ移動します
2. 左側のメニュー最下部の「すべて表示」→「Azure Active Directory」を選択し、Azure Active Directory 管理センター へ移動します
3. 左側のメニューから、「ユーザー」→「サインイン ログ」を選択します
4. 「フィルターの追加」→「クライアント アプリ」を選択し「適用」します
5. 「クライアント アプリ」→「レガシ認証クライアント」以下全てにチェックを入れ、「適用」します
6. ログが存在する場合、基本認証を利用した通信が行われています。

※通常は「過去7日間」のログのみとなりますが、  Azure ADの上位プランを契約している場合のみ「過去1ヶ月」まで確認できます。

基本認証を利用しているログが発見された場合、対象のサービス、アプリをアップデートするなど、先進認証に対応可能か確認します。
もしできない場合には、対象アプリ・サービスの利用廃止について検討してください。

最後に、基本認証を無効化します。まずはSharepointからです。
1. Microsoft 365 管理センター へ移動します 
2. 左側のメニュー最下部の「すべて表示」→「SharePoint」を選択し、SharePoint 管理センター へ移動します
3. 左側のメニューから、「ポリシー」→「アクセスの制御」を選択します
4. 「先進認証を使用していないアプリ」を選択します
5. 「アクセスをブロックする」にチェックが入っていることを確認します

続いて、Exchange Onlineの基本認証を無効化します。
1. Microsoft 365 管理センター へ移動します
2. 左側のメニューから「設定」→「組織設定」を選択します
3. 上部の「サービス」タブが選択されていることを確認します
4. スクロールして、下の方にある「先進認証」を選択します
5. 「Outlook 2013 for Windows 以降の先進認証をオンにする(推奨)」にチェックが入っていることを確認します
6. 「基本認証プロトコルへのアクセスを許可する」以下にある、「Outlook クライアント」から「Exchange Online PowerShell」等の全てに
 チェックが入っていないことを確認します

なお、条件付きアクセスが使える場合は、下記を参考に設定してください。
1. Microsoft 365 管理センター へ移動
2. 左側のメニュー最下部の「すべて表示」→「Azure Active Directory」を選択し、Azure Active Directory 管理センター へ移動
3. 左側のメニューから、「Azure Active Directory」→「エンタープライズ アプリケーション」→「条件付きアクセス」を選択
4. 新しく開いた領域の上部「新しいポリシー」→「新しいポリシーを作成する」を選択
5. 「名前」に任意のポリシー名を入力
6. 「ユーザーまたはワークロードIDが選択されていません」を押して制限する対象のユーザーを設定
7. 「クラウド アプリ、アクション、認証コンテキストが選択されていません」を押して、「すべてのクラウド アプリ」を設定
8. 「0個の条件が選択されました」を押して「クライアント アプリ」の「未構成」を選択
9. 「構成」で「はい」を選択し、「先進認証クライアント」以下全てのチェックを外し、「レガシ認証クライアント」以下全てのチェックを入れ「完了」
10. 「アクセス制御」の「許可」「0個のコントロールが選択されました」を押して、「アクセスのブロック」を選択し「選択」
11. 「ポリシーの有効化」を「オン」にして「作成」
※オンにすると直ちに設定が適用されます。
 条件付きアクセスは、設定を誤ると管理者さえもアクセス不可能となります。
 設定はユーザーを絞り事前に検証した上で実施してください。

まとめ

本コラムでは、 特に利用が進むMicrosoft 365のインシデント事例と特に多い設定不備の例として基本認証と先進認証を取り上げ、適切な設定例を解説しました。 設定例であげたように連携しているアプリやサービスをアップデートする等、対策時に対応する内容は多岐にわたります。 また、アップデートの検証なども含めて計画を立てる必要がありますので、まずは早急に現状を確認することをお勧めします。

なお、本内容は2022年6月末時点での情報です。 Microsoft 365に代表されるクラウドサービスは、提供者側が、提供する設定画面や仕様などを
変更することが可能な形態であることに留意してください。

MOTEXでは、Microsoft365をはじめとしたクラウドサービスの管理設定を、最新の情報で網羅的に確認が可能な
「クラウドセキュリティ診断サービス」を提供しています。 ご興味のある方は、下記をご確認ください。

関連サービス/ソリューション
著者プロフィール
前田 誉彦(まえだ のりひこ)

セキュリティエンジニアとして、クラウドセキュリティ診断サービスを立ち上げ、
以後、クラウドセキュリティ診断サービスに従事。
お客様のクラウドサービスの設定状況をチェックし、 よりセキュアに利用できるようお手伝いします。


掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ