Office 365リソースのアクセス制御

皆さんこんにちは。国井です。

この投稿はOffice 365 Advent Calendarプログラムに参加しています。

Advent CalendarのAdventって、到来を意味するラテン語「Adventus」から来ているそうですね。12月で到来と言えば、キリストの到来を意味するんだろうけど、私にとって劇的な到来だと思っているのは、EMS (Azure AD)によるOffice 365リソースへのアクセス制御の到来です。

Office 365にアクセスできるようにするための条件設定は、Office 365単体で行おうとすると、Exchange Onlineだったらメールボックスへのアクセス許可があるかないか、
SharePoint Online/OneDrive for Businessだったらアクセス許可が割り当てられているか、
など、ユーザーをベースにしたアクセス制御を利用していました。

一方、こうしたアクセス制御方法とは別に、企業ではデバイスをベースにしてアクセス制御を行いたいというニーズはよくあると思います。

これらのニーズに対応する方法は大きく分けて2つあり、

ひとつは、ADFSサーバーのクレームルールを利用する方法、
もうひとつはEMS (Enterprise Mobility + Security)を利用する方法、

があります。

ADFSを使って実現する方法はトレーニングコースを用意しているので、そちらにご参加いただくこととして(笑)、 今日はEMSを使って、デバイスベースでOffice 365へのアクセス制御を行う方法を紹介します。

■ ■ ■

EMSとは、Office 365の認証基盤であるAzure ADの有償版を含む、クラウドセキュリティソリューションの総称で、EMSで提供する条件付きアクセスを使うと、様々な方法でのアクセス制御が実装できるようになります。EMSの条件付きアクセスは、Office 365に限らず、様々なクラウドサービスへのアクセス制御にも利用でき、またアクセス制御方法も、ユーザー/グループ単位での制御や、今日これから紹介するデバイス単位での制御、それからIPアドレス単位での制御など、多彩です。

設定方法を続いて確認してみましょう、と言おうと思ったのですが、
既に基本的な設定は過去の投稿で書いているので、こちらを見ていただければと思います。

Azure ADデバイス登録とデバイス認証

上記の投稿を参考にして、Exchange Onlineへのアクセスを例にデバイスベースでのアクセス制御を見てみます。
Microsoft AzureのクラシックポータルからExchange Onlineアプリケーションを開き、[構成]タブを開いて、[デバイスベースのアクセス規則]欄を[オン]にするとデバイスベースのアクセス制御が始まります。
デバイスベースのアクセス制御は、上記の投稿にも書きましたが、Azure ADにデバイス登録してあって、なおかつMicrosoft Intuneにデバイス登録してあることが前提条件です。この条件をクリアしたコンピューターだけがデバイスベースのアクセス制御の条件をクリアし、アクセスすることができます。

image

その他、設定可能な条件には、

・[適用対象]欄で、どのユーザーからのアクセスに対して、デバイスベースのアクセス制御を行うか?
・[デバイスルール]欄で、どのOSからのアクセスに対して、デバイスベースのアクセス制御を行うか?
・[アプリケーション強制]欄で、どのアプリケーションからのアクセスに対して、デバイスベースのアクセス制御を行うか?
・[Exchange ActiveSync]欄で、Exchange ActiveSyncからのアクセスに対して、デバイスベースのアクセス制御を行うか?

があります。

image

では、実際にアクセスしてみましょう。
まずは、Azure ADとIntuneの両方でデバイス登録を行っているデバイスからExchange Onlineにアクセスすると、

image

何事もなくアクセスできました。

image

一方、何もデバイス登録していないデバイスからアクセスすると、ご覧のとおり。

image

こんな感じで、デバイスベースのアクセス制御が実現します。

■ ■ ■

最後に余談を。
デバイスベースのアクセス制御機能は、もともと(今も?)条件付きアクセスって呼ばれる機能なんですが、 Microsoft Intuneのライセンスを持っていない方には、Office 365 MDMによる条件付きアクセスという簡易バージョンが用意されているので、こちらを使ってアクセス制御を行うこともできます。
設定は、ご覧のように、デバイスで設定しているパスワードの文字数などをベースにアクセス許可/拒否の判断を行うようなものになっています。 (Microsoft Intuneにも同じような機能がありますよね)

image

image

誰かの参考になれば、うれしいです。