Microsoft 365のレガシー認証をブロックする

schedule 2019/09/19  refresh 2023/11/09

 

みなさま、こんにちは。
今回はMicrosoft 365のアクセス方式についてまとめてみましたので参考になればと思います。

 

Microsoft 365(ここでは主にExchange Onlineを指します)へのアクセス方法はブラウザとクライアントアプリケーション、スマートフォンアプリなど幾つかありますが、クライアントアプリケーションからのアクセスには2通りのアクセス方法があります。

 

①先進認証(Modern Authenticaton)

 

認証するときに別ウィンドウが開いてログイン画面が表示されるような実装をしている方式です。別ウィンドウはアプリに組み込まれた「WebView」で、認証するときはブラウザを利用していると捉えると分かりやすいです。

対応しているクライアントアプリケーションは以下の通りです。

 

・Outlook2016/2019
・Outlook2013(デフォルトでは未対応だが設定すると先進認証モードで動作する。)
・Officeアプリケーション(Word/Excel/PowerPoinなどのアカウント設定時など)
・スマートデバイス向けアプリケーション(最新のOfficeアプリはほぼ対応している様子。)

 

先進認証方式の場合、フェデレーション環境下でもIdPから見るとブラウザアクセス(と同じ)なので、多要素認証やアクセス制御ができる、というメリットがあります。

 

②レガシー認証

POP/IMAP/SMTP Authを利用するメールクライアントからのアクセス、認証要求を指します。
マイクロソフト社の記事では「先進認証(Modern Authenticaton)ではないアクセス方式」と表記していますが、個人的には認証時にリダイレクトが発生しないアクセス方式と覚えています。

また、Outlook 2016/2019でもアカウント設定時に「POP/IMAPで接続」するような設定を行った場合、「レガシー認証」方式となります。
「レガシー認証」はクライアント→Microsoft 365→IdPというアクセス経路を辿り、その認証要求は「パスワード認証」固定です。
つまり、Microsoft 365がPOP/IMAP接続の要求を受けると、認証サーバに「パスワード認証」を試みて認証完了後、クライアントと再度通信を行い終了という流れになります。
以前からMicrosoft 365に対しても多くみられる攻撃のパスワードスプレー攻撃やブルートフォース攻撃はこのようなレガシー認証アクセス方式を対象としているため、ここをブロックすることを強く推奨します。

 

レガシー認証をブロックする方法
弊社クラウドサービス「SeciossLink」には、レガシー認証をブロックするための「アクセス権限」機能があります。この「アクセス権限」機能はアクセス制御にユーザやグループなどを利用できるため、例えば、「役員」の方は「POP/IMAP」を許可する、などの細かい制御ができます。
役職が上の方こそ、セキュアなアクセス方式を強制すべきですが、現場では逆のニーズ(年配の方はOTPアプリなんか使えない!とか)があったりします。このような要件にも「SeciossLink」であれば対応可能です。

もう一つご案内したいのは、Microsoft 365側にある「レガシー認証」をブロックする機能です(2019年9月時点でプレビュー機能)。

 

■設定方法
1.Microsoft Azureへログイン(https://portal.azure.com)
2.管理画面左メニュー「Azure Active Directory」-「セキュリティ」-「条件付きアクセス」を表示
3.ポリシーが幾つか表示されますがその中の「Baseline policy:Block legacy authentication」をクリック
4.表示画面の「ポリシーの有効化」を「オン」に設定

 

画面の説明文にもあるように「このポリシーは多要素認証(IMAP、POP、SMTP など)をサポートしていないレガシ認証プロトコルを使用するサインインをすべてブロックします。このポリシーはExchange ActiveSyncをブロックしません。」とありますので、以下のクライアントからの「レガシー認証」をブロックすることができるようです。

 

・Office 2013(レジストリ キーなし)
・Office 2010
・Thunderbirdクライアント
・レガシ Skype for business
・ネイティブの Android メールクライアント

簡単に利用するにはこの方法も良いかも知れませんが、プレビュー機能ですので、よく検討のうえでご利用ください(弊社は一切責任を負いませんので)。

 

【参考:マイクロソフト社の情報:ベースライン ポリシー:レガシ認証をブロックする (プレビュー)】
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/howto-baseline-protect-legacy-auth

以上、お役に立てば幸いです。