概要
Azure ADの条件付きアクセスにレガシー認証を利用させないオプションが付きました。
これによりExchange OnlineでPOP/IMAPはもちろん、Active Syncの接続も簡単に止めることができます。
利用できるアプリケーションが限定されてガバナンスが効きやすくなったのはいいのですが、そもそもユーザーにどのアプリを利用させるのがいいか悩むところです。
そこで今回Azure ADの条件付きアクセスでレガシー認証をブロックした状態で利用できるアプリケーションを探してみることにしました。
Azure ADの設定
Azure AD の条件付きアクセスで「モバイルアプリとデスクトップクライアント」の接続を先進認証のみとします。以下の画面のようにモバイルアプリの先進認証以外をすべてブロックしています。
これで対象ユーザーは先進認証しか使えなくなります。この状態でアクセスできるクライアントを検証しました。
先進認証で利用できるアプリ一覧
Windows 10
Outlook 2013 以降(先進認証を有効)
Windows Mail(Windows 10)
iOS
標準のメール
Outlook for iOS
Android
Outlook for Android
ナイン
macOS
標準のメール(Mojaveで確認)
Outlook for Machintosh
まとめ
今回は先進認証で利用できるメールクライアントを調べてみました。
これでメール環境をより安全に運用することができるようになります。
Windows10やiOSについては標準で利用できるメールクライアントが実装されているので困ることがないようですが、AndroidではほとんどのメールクライアントがActiveSync までしか対応しておらず、結果的にOutlookを利用することになりそうです。
企業では強制が効きやすいと思いますが、学校などガバナンスが聞かないところではユーザーの利用シナリオを作成するのが難しいです。
ほかにもあるよといった情報があればコメントいただけますと幸いです。
最終更新
2018/9/4 継続調査中
2018/12/16 Macの標準メールの動作をMojaveで確認。最初はMac mini 2014でやってたのでうまく動かなかったのですが、どこかのアップデートで対応したようです。