こんばんは、吉野です。
今回はちょっと気になるメッセージがMicrosoft 365 管理センターのメッセージセンターにありましたので、紹介させていただきます。
元のMC(メッセージセンター)のメッセージ
MC1150662: Action Required – Configure Browser Policy to Preserve OneDrive and SharePoint Web Performance and Offline Capability
概要
内容は、Chromium(Google Chrome や Microsoft Edgeで利用されているブラウザのエンジン)の更新に伴い、SharePointやOneDriveにアクセスするとローカルアクセスの許可を聞かれることになります。
もちろん許可すれば使えるわけですが、毎回聞かれる可能性があるため、グループポリシーや Intune で一括設定をしましょう、という管理者向けの案内になります。
背景
Chromium ではローカルネットワークアクセス(LNA)に関する新しい権限モデルが導入されました。これによって、企業を目的としたCSRF攻撃や追跡の抑制が可能になります。(要するにセキュリティ上必要な変更)
Chromiumの新しいバージョン(141)が9月末にリリースされますが、Chrome/Edgeに展開されると、LNAが適用され上記のようにローカルアクセスの許可の確認が出てきます。
これはユーザービリティの低下につながりますし、一度拒否してしまうとパフォーマンスに影響が出る恐れがあります。対応方法は、SharePoint/OneDrive を安全なサイトとし、この表示を出さないようにするということになります。
Intuneでの設定配布手順
これ自体はユーザー側でも設定はできますが、今回は Intune で一括設定する方法をご案内いたします。
作業手順
Intune 管理センターにアクセスします。
デバイス→構成からポリシーを開きます。
新しいポリシーを選択します。
プロファイルの作成では、プラットフォーム「Windows 10 以降」種類を「設定カタログ」にします。
名前と説明を入力します。
設定の追加をクリックします。
設定ピッカーに[LocalNetworkAccessAllowedForUrls]と入力して検索をすると「Microsoft Edge ネットワーク設定」が残りますのでクリックします。
Allow Sites to make requests to local network endpointsをチェックします。(Userか無印)
すると以下のようなスイッチが追加されるのでオンにします。
するとテキスト入力欄が出てきますので、https://テナント名.sharepoint.comとhttps://テナント名-my.sharepoint.comの2つを追加します。
次へをクリックすると「スコープタブ」の入力欄が出てきます。必要に応じて追加してください。スコープタブが何なのかは前回の記事を参考にしてください。
対象範囲を選択します。先ほど(User)を指定した場合はすべてのユーザー、無印を選択した場合は全てのデバイスがよいでしょう。もちろん展開前に動作確認をしたい場合はグループの追加でテストユーザー用グループを追加してください。
最後に作成をクリックすれば完了です。
おわりに
今回はChromiumの更新に伴うセキュリティ強化ということで、一斉展開が必要そうな内容でしたので、Intuneでの方法をご案内させていただきました。こちらに限らずIntuneをご活用いただければと思います。