Office.comへの「条件付きアクセスポリシー」の適用方法が変更 管理者は「何」をすべきか：変更は2017年8月24日から

「Office.com」への条件付きアクセスポリシーの適用方法が、2017年8月24日に変更される。何が変わるのか、どんなシーンで影響があるのか、管理者は何をすべきかをまとめた。

[＠IT]

　Web版Microsoft Officeサービス「Office.com」への条件付きアクセスポリシーの適用方法が、2017年8月24日に変更される。Microsoftは2017年8月4日（米国時間）、Office 365の管理者に向けて公式ブログで変更の詳細を告知した。

An update to Azure AD Conditional Access for Office.com

　今後、Office.comへのアクセスは、「Exchange Online」と「SharePoint Online」に設定されているポリシーを満たす必要が生じる。例えば、ExchangeやSharePointに「多要素認証を要求するポリシー」や「特定の条件に準拠したデバイスを要求するポリシー」が適用されている場合には、ユーザーがOffice.comにサインインするときにもこのポリシーが適用される。変更は、「“ExchangeやSharePointにポリシーが適用されている場合に、一部の機能がOffice.comで正常に動作しない”という顧客からの指摘に対処するため」に行ったとしている。

　対象となる機能には、ドキュメントや電子メールの検索、アプリランチャーでのカスタマイズのロード、新規ドキュメントの作成、カレンダーの表示なども該当する。これらの機能もExchangeやSharePointのデータにアクセスするので、ExchangeやSharePointのポリシー適用が必要となるということになる。

　変更のポイントは以下の通り。

• ExchangeとSharePointへのブラウザアクセスに適用されているポリシーは、「Office.comへのアクセス時にも全て適用」される
• モバイルアプリやデスクトップアプリへ個別に適用されているポリシーは、Office.comへのアクセス時には無視される。「Office.comはブラウザ経由でアクセスされる」ためだ。このことは、Azure管理ポータル、Intune管理ポータルで設定された条件付きアクセスポリシーにも当てはまる
• 「Office 365 MDM（モバイルデバイス管理）」を使って設定されたポリシーは、Office.comへのアクセス時には適用されない。これらのポリシーは「モバイルアプリ向け」だからだ
• ポリシーがExchangeとSharePointに設定されている場合、どちらのポリシーもOffice.comへのアクセス時に有効になる

Office.com

　2017年8月24日からの変更時に影響を受ける可能性があるのは、「Office.comを使用しているが、ExchangeやSharePointのポリシーを満たしていないユーザー」となる。こうしたユーザーには「ポリシーを満たす手続きを踏む」ようにきちんと通知し、認知させておくことが肝要となる。ちなみに、ユーザーがMicrosoft OfficeのデスクトップアプリケーションをインストールするためにOffice.comにアクセスしようとする場合には、「https://aka.ms/office-install」へアクセスするように促せばよい。