Outlook のレガシー認証ブロック (テナント制限に関連する ADAL 認証の強制)

こんにちは、コラボレーション担当の和田です。 以前のブログで、フォワード プロキシ サーバーと Azure AD を使用した、自社テナント以外へのアクセス制限をご紹介しました。   TITLE: 自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) URL: https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/   この機能は、現在のところ、ブラウザーでは完全に機能しますが、Outlook と Skype のリッチ クライアント アプリではレガシー認証が利用可能であり、ADAL が無効なテナントに接続しようとすると ADAL 認証を迂回してしまうため、完全には制御できませんでした。Outlook の場合は、既定以外の Exchange アカウントの追加を禁止したり、自社テナント以外の自動検出(Autodiscover)URL へのアクセスをブロックするなどの対処が必要でした。   ※ 2017 年 9 月現在、新規に作成されるテナントについては、Exchange Online 及び Skype for Business Online も既定で ADAL が有効になるように変更されています   概要 これに対応するため、Outlook 2016 にオプション機能が追加され、レジストリ キーで ADAL 認証を強制できるようになりました。このレジストリ キーが構成された…


自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions)

2017/03/13 : プロキシ サーバーに追加する HTTP ヘッダーの情報を更新いたしました。 こんにちは、プロダクティビティ担当の和田です。 セキュリティ要件が厳しい組織や業界の場合、Office 365 の利用開始を検討する際、Firewall やプロキシ サーバーでアクセス リスト (ACL) の変更を行い、ホワイトリストに Office 365 で使用するドメイン名や URL を追加して、接続許可の対処をしなければならない場合があります。その際、Office 365 で使用される接続先 URL は全世界共通であるため、自社テナントへの接続を許可すると、他社のテナントや社員が個人契約したテナント、試用版で作成した評価テナントなど、すべての Office 365 テナントへ接続が行えるようになってしまうため、一部のお客様ではこれがセキュリティ リスクとして捉えられてしまうケースがありました。 これに対応するため、Azure Active Directory の機能拡張を行い、「テナントの制限」 (Tenant Restrictions) 機能が一般提供開始されました。(昨年の Tech Summit 2016 ではお伝えできませんでしたが、ようやくリリースされました!) 尚、本設定は Azure Active Directory を認証基盤として使用する全てのサービスに影響しますので、Office 365 以外にも、例えば以下のようなものも同時に制限対象となります。 Azure 管理ポータル/Azure AD 管理センター Dynamics 365 Windows Defender ATP…