SharePoint と OneDrive for Business でネットワークの場所に基づく条件付きアクセス ポリシーを適用


(この記事は 2017 1 13 日に SharePoint Blog に投稿された記事 Introducing Conditional Access by Network Location for SharePoint and OneDrive for Business の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

2016 年 9 月に Ignite で告知したとおり、SharePoint および OneDrive for Business は、2017 年 1 月 20 日の初回リリースより、ネットワークの場所に基づく条件付きアクセス ポリシーを適用いたします。

CloudSecurity.png

このポリシーは、データの漏えい防止、規制要件への適合、信頼できないネットワークからのアクセス遮断などに効果的です。IT 管理者は、SharePoint 管理コンソールから、特定のネットワーク範囲のアクセスを制限することができます。構成後、定義されたネットワーク境界の外から SharePoint や OneDrive for Business への (Web ブラウザー、デスクトップ アプリ、任意のデバイス上のモバイル アプリなどを使用した) アクセスをブロックします。

このポリシーは、初回リリースの商用および GCC テナントに追加ライセンスなしで提供されます。

管理エクスペリエンス

管理者は、ネットワーク範囲に現在のマシンの IP アドレスを含める必要があります。IP アドレス範囲は厳格に遵守されるため、管理者のマシンの IP が含まれていないと管理セッションがロックアウトされます。管理セッションがロックアウトされた場合は、サポート担当に接続の再確立を依頼してください。

このポリシーは既定では無効です。ポリシーが構成されていない場合、SharePoint によるアクセス制限は一切行われません。このポリシーの構成はあくまでオプションとなります。

管理者が Azure Active Directory Premium (AADP) で IP ネットワーク範囲を指定してロケーションによるアクセス制限を実施している場合、AADP のホワイトリストが SharePoint ポリシーより先に評価されます。このため、AADP よりも限定したポリシーの適用が可能です。ただし、AADP で禁止されている IP アドレス範囲のアクセスを有効にすることはできません。
LocationPolicy.jpg

SharePoint Online 管理コンソールの管理エクスペリエンス

最終的に、SharePoint ポリシーは、OneDrive for Business を含む Office 365 テナント内のすべての SharePoint サービスに適用されます。

ユーザー エクスペリエンス

ホワイトリストのアドレス範囲に含まれるユーザーのアクセスは、すべて正常なアクセスとして処理されます。しかし、ホワイトリストの範囲に含まれないユーザーが SharePoint や OneDrive のワークロードにアクセスしようとすると、アクセスはブロックされます。
LocationBlocked.jpg

禁止されているロケーションから SharePoint にアクセスしようとした場合のユーザー エクスペリエンス

ロケーション ベースの条件付きアクセス制限を実施すると、OneDrive クライアントからのオフラインのファイル同期もブロックされます。一般に、テナントに含まれている機密情報に既知のネットワーク以外からアクセスすることを禁止したい場合、同期を完全に無効にすることをお勧めします。こうすることで、リモート デバイス上のコンテンツは、既知のネットワーク ロケーション内に保持されます。このポリシーは、SharePoint と OneDrive へのライブ アクセスをブロックすることはできますが、ホワイトリスト以外のネットワークからダウンロードされたコンテンツや同期されたオフライン コンテンツを自動で検出することはできません。

新しい条件付きアクセス ポリシーの提供を喜ばしく思います。今後、さらなるロールアウトに向けて取り組んでまいりますので、どうぞご期待ください。

よく寄せられる質問 (FAQ)
Q. このポリシーは、Exchange など他の Office 365 サービスへのアクセスに影響がありますか。
A. SharePoint 以外の Office 365 のサービスへの直接の影響はありません。ただし、SharePoint チーム サイトでファイル ストレージを提供する Microsoft Teams や Planner のような共同作業アプリでは、ホワイトリストにないロケーションからアクセスすると予期しない結果になることがあります。

Q. ロケーションによる条件付きアクセス ポリシーは政府機関のテナントで使用できますか。

A. はい、これらのポリシーは政府機関コミュニティ クラウド (GCC) でも使用できます。このポリシーは、2017 年後半には他のエリアのクラウドでもリリースされる見込みです。

Q. Azure Active Directory Premium または Office 365 E5 の使用を有効化したい場合、このポリシーに追加ライセンスは必要ですか。

A. いいえ、そのようなサービスや追加ライセンスは不要です。Azure Active Directory Premium を使用していない場合、SharePoint ポリシーはネットワーク ロケーションに応じてアクセスを許可または拒否します。

Q. このポリシーは SharePoint Server のオンプレミス インストールのアクセスに影響がありますか。

A. いいえ、SharePoint Server に影響はありません。オンプレミスの SharePoint Server をアクセス ポリシーの範囲に含める計画は、現時点でありません。

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。
Skip to main content