Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@gustolove(hattori t)

【AzureAD】条件付きアクセスとMCASを利用して、外部PCのoffice365からのダウンロードを防止してみた

Posted at

前回の記事の続きになります

【AzuerAD】条件付きアクセスで社給PC以外のPC利用者は、Office365利用時に多要素認証を要求する

テレワークに伴い、
自社PCの配布が行き届いておらず、個人のPC利用している
顧客環境のPCを利用して仕事をしている

という方は多いと思いますが、自社で管理できないPCに勝手に自社の情報が
ダウンロードされてしまうのは困ると思います。

そこでダウンロードを防止する方法を考えてみました。

いつも通り条件付きアクセスを利用しますが、ダウンロード防止にはMCAS(Microsoft Cloud App Security)を使用してみました。
MCASのセッション ポリシーは、ブラウザーアプリにのみ対応しているようです
デスクトップ アプリでは制御できないので、
そこを考慮して考えてみます
MCASでサポートしているブラウザーは以下のようです。(各最新バージョン)
Microsoft Edge/Google Chrome/Mozilla Firefox/Apple Safari

image.png

image.png

#条件付きアクセスの設定
###デスクトップアプリのブロック
MCASがブラウザしか対応していないので、デスクトップアプリからのアクセスはブロックするようにしました。(自社で管理していないPCからのアクセスはデスクトップアプリの利用を禁止)

今回もテストユーザを使用します
image.png

アプリをOffice 365に設定
image.png

場所の対象を[すべての場所]を選択
image.png

場所の対象外を[選択された場所ー自社用]を選択
※自社用はネームドロケーションで自社のGIP(グローバルIP)を設定しています
image.png

クライアントアプリは以下のように設定。ブラウザは通すようにしました。
image.png

デバイスの状態の対象を[すべてのデバイスの状態]を選択
image.png

デバイスの状態の対象外を以下のように設定
※準拠しているデバイスはモバイル/デスクトップアプリからでもブラウザでもアクセスさせるため、対象外としています。
image.png

許可を[アクセスのブロック]を選択します。
image.png
ポリシーを有効化して保存します

###MCAS用のポリシーを設定
続いて条件付きアクセスでMCASを利用するよう設定します

ユーザーをtestuserに設定
image.png

アプリはOffice 365を選択
image.png

場所の対象を[すべての場所]に設定する
image.png

場所の対象外を[選択された場所ー自社用]を選択
※自社用はネームドロケーションで自社のGIP(グローバルIP)を設定しています
image.png

アプリの条件付きアクセス制御を使う[カスタムポリシーを使用する]
を選択します
image.png

ポリシーを有効化して保存します

ここで条件付きアクセスの設定は終了です。

#MCAS(Microsoft Cloud App Security)の設定
続いて、MCASの設定を実施します。
MCASを用いて、Intuneに準拠していないPCで、office365利用時にダウンロードをブロックしてみようと思います。

intuneに準拠しているPCの除外設定を 条件付きアクセスと同じ挙動になるか
今回はあえてMCAS側で設定してみました。(MCAS側でもある程度条件付きアクセスと同じ設定が出来ます)

Cloud App Security ポータルにアクセス

image.png

Office 365の認証画面が出るので、管理者のアカウントでログインします。
image.png

Cloud App Security ポータル画面に遷移します
image.png

設定のアイコンからアプリの条件付きアクセス
image.png

Office365関連のアプリが表示されていることを確認して、制御から[ポリシー]を選択
image.png

ポリシー画面に遷移するのでポリシーの作成から[セッションポリシー]を選択
image.png

セッションポリシーの作成画面が表示されます
image.png

ここで以下のように設定しました

ポリシー名と説明は任意に決めます。
image.png

アクティビティソースで条件を決めます
アプリはoffice365に設定
image.png

デバイスを以下のように設定
等しくないと設定することで、条件付きアクセスと同じような設定ができます。
(intuneに準拠しているPCは ダウンロードブロックの対象としない)
image.png

ブロックにチェックをいれる
メールで通知することと、ブロックのメッセージをカスタマイズしてみました
image.png

#テストしてみる
intuneに準拠していない外部PCから onedriveにアクセスしたら
以下の表示がされました
image.png

そんなの無視無視!!とダウンロード試みたら しっかりブロックされました。
設定したメッセージも表示されてます。
image.png

アクセス権がなくて、ブロックしたぞってメールもユーザに届いています。
image.png

intuneに準拠している端末は問題なく利用できることを確認しています。

#まとめ
無事にダウンロード制御できました。
もう少しテストが必要と感じますが、とりあえず社内で管理してないPC(出向先でPC借りている、自宅の個人PC等)からOffice365にアクセスしてもダウンロードを防止することができました。OWAでつないでいるメールからもダウンロードブロックできることを確認しています。

次回はもう少し制御の範囲を増やしてみようと思います!!
少しでも参考になれれば嬉しいです(^^♪

3
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?