「働き⽅改⾰」という⾔葉に、もう耳慣れた方もいるでしょう。2017年に政策として実⾏計画が発表され、2018年ごろからは皆さんの組織で具体的な施策を検討したり、実施したりしているところも多いのではないでしょうか。
私たちも日々の営業活動で対策を検討している⽅と話をしているのですが、よく聞くのが「メールやデータをダウンロードさせたくない。もし、それができれば、端末を限定せずに⾃宅や外出先から仕事ができる環境を提供できるのに……」というものです。
今回は、この要件を満たす「Exchange Online」「SharePoint Online」のセッションコントロール機能を紹介します。
セッションコントロールは、Exchange OnlineのWeb UI(ユーザーインタフェース)である「Outlook on the Web(旧称:Outlook Web App、OWA)」と、SharePoint OnlineにWebブラウザで接続した場合に読み取り専⽤として動作する機能です。
クライアント側の動作メールに添付されたファイルや、SharePointのドキュメントライブラリにあるファイルは、オンライン上でプレビューする(Office Onlineで編集することも可能)ことは許可しますが、端末へのダウンロードやOneDriveのローカル同期ツールを利⽤した同期はブロックします。
このセッションコントロール機能によって、メールの送受信やOffice⽂書の閲覧、Onlineでの編集を安全に開放することが可能になります。これまでコストをかけて実施してきた次のようなセキュリティ対策を⾒直し、コストを削減できる可能性があります。
実は、SharePoint Onlineについては、数年前からこの機能が実装されていたのですが、普及していない⼤きな理由としては、この設定がテナントレベルで有効にする⽅法しかなく、社内にある端末に対しても同様の制限がかかってしまったことがあります。
今回、Azure Active Directory(Azure AD)Premium Plan 1の条件付きアクセスと組み合わせて設定可能になったことで、特定のユーザー/グループや社内/社外といったネットワークの場所に応じた範囲を設定できるようになりました。次からは具体的な設定手順を紹介します。
冒頭で「簡単に実現できる」とは書きましたが、実際は以下のように設定箇所が3つに分かれているため注意が必要です。どんどん進めてしまうと、設定漏れや意図しないアクセス制御が有効になってしまう可能性があるので、1つずつ確認しながら設定を進めてください。
また、本番環境に設定する前には、評価版のMicrosoft 365テナントを準備してテストすることも検討してください。
まずは、SharePointのアクセスポリシーを有効化します。それには、「Microsoft 365管理センター」にサインインし、左側のメニューで[管理センター]→[SharePoint]をクリックしてSharePoint管理センターにアクセスします。
SharePoint管理センターが開いたら、左側のメニューで[アクセス制御]をクリックし、設定画⾯の[管理されていないデバイス]で[制限されたWebのみのアクセスを許可する]を選択することでポリシーが有効になります。
次に、Exchangeのアクセスポリシーを有効化します。Exchange管理センター画⾯からの設定はできないため、Windows PowerShellを使っての設定となります。管理者権限でPowerShellを起動し、下記コマンドを実⾏することで、Exchangeのアクセスポリシーが有効になります。
Set-ExecutionPolicy RemoteSigned $UserCredential = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection Import-PSSession $Session –DisableNameChecking Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnly
最後に、Azure ADでSharePointとExchangeのアクセスポリシーを展開します。それには、Azureポータルにサインインし、[Azure Active Directory]→[条件付きアクセス]→[新しいポリシー]をクリックして、必要となるポリシーを作成します。
ここには記載していませんが、「割り当て」項⽬のユーザーとグループで適⽤対象のユーザーとグループを指定することもできます。また、条件の場所を指定することで、社内/社外ネットワークを定義し、社外ネットワークだけでこの設定を有効化することも可能です。
Azure AD条件付きアクセスのセッションコントロールを利⽤することで、端末を限定することなく、安全に業務を従業員に開放できることがご理解いただけたのではないでしょうか。
この機能を⽤いることで、通常時はもちろんのこと、予想外の天候不順によって通勤への影響が出た事例を踏まえ、⼀部業務の継続を従業員の場所や端末にとらわれずに遂⾏させることにもつながる機能ではないでしょうか。
ただし、上図にもありますが、外部にExchange/SharePoint Onlineを公開した場合には、従業員以外の第三者に対してもログイン画⾯を公開することになるため、同じくAzure AD Premium Plan 1で提供している多要素認証を同時に有効化することも併せて検討することを推奨します。
本稿が従業員の多様な働き方を支援するIT部門の一助になれば幸いです。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年3月31日