SharePointOnline の「アクセスの制御」設定を行うとどんな変更が入るか

##注意事項
本記事は2021/3/7時点での情報です。
動作確認は試用版Office365E3、EMSE5を使用したテナントで行っています。
本記事は動作検証した結果を記載した忘備録です。個人的な検証による記載のため、認識に間違いがある可能性もあります。
あと、読みづらかったらごめんなさい。

##Sharepoint管理センターの「アクセスの制御」設定は裏でどんな設定を入れ込んでいるか？
SharePointOnlineのパラシを作成したらいくつか気になった項目があったので記載してみます。

##「管理されていないデバイス」の設定確認
非準拠またはドメイン未参加のデバイスからのアクセスを制限します。

「管理されていないデバイス」のパラメータ

デスクトップアプリ、モバイルアプリ、Webからのフルアクセスを許可する（デフォルト設定）

制限されたWebのみのアクセスを許可する

アクセスをブロックする

EMSライセンスを割り当てていないと、「この設定を使用するには、Enterprise Mobility + Security のサブスクリプションを取得して、自分自身にライセンスを割り当てます。」と出て設定が出来ません。

制限されたWebのみのアクセスを許可する
まず、「デスクトップアプリ、モバイルアプリ、Webからのフルアクセスを許可する」から「制限されたWebのみのアクセスを許可する」に選択を変更してどんな変更が入るか確認します。

条件付きアクセスに以下ポリシーが作成されます。

全てのユーザー、SPO、モバイルアプリとデスクトップクライアントを条件として、アクセス許可条件に「デバイス準拠」または「HAADJoin」を必要とします。
・[SharePoint admin center]Use app-enforced Restrictions for browser access
全てのユーザー、SPO、モバイルアプリとブラウザーを条件として、セッション制御「アプリによって適用される制限を使用する」```

PS C:> Get-SPOTenant | Select-Object ConditionalAccessPolicy,AllowDownloadingNonWebViewableFiles
ConditionalAccessPolicy AllowDownloadingNonWebViewableFiles

---

 AllowLimitedAccess                               False

**アクセスをブロックする**
次に、作成された条件付きアクセスポリシーをすべて消して、「アクセスをブロックする」に選択を変更してどんな変更が入るか確認します。

条件付きアクセスに以下ポリシーが作成されます。
```・[SharePoint admin center]Use app-enforced Restrictions for browser access
全てのユーザー、SPO、モバイルアプリとブラウザーを条件として、セッション制御「アプリによって適用される制限を使用する」```

PS C:> Get-SPOTenant | Select-Object ConditionalAccessPolicy,AllowDownloadingNonWebViewableFiles
ConditionalAccessPolicy AllowDownloadingNonWebViewableFiles

---

        BlockAccess                                True

**デスクトップアプリ、モバイルアプリ、Webからのフルアクセスを許可する**
最後に、同様に条件付きアクセスポリシーを削除して、「デスクトップアプリ、モバイルアプリ、Webからのフルアクセスを許可する」に戻します。

条件付きアクセスポリシーは作成されません。

PS C:> Get-SPOTenant | Select-Object ConditionalAccessPolicy,AllowDownloadingNonWebViewableFiles
ConditionalAccessPolicy AllowDownloadingNonWebViewableFiles

---

    AllowFullAccess                                True

詳細は公式ドキュメントを参照してください。
<a href="https://docs.microsoft.com/ja-jp/sharepoint/control-access-from-unmanaged-devices">非管理対象デバイスからのアクセスを制御する</a>

##「アイドル セッションのサインアウト」の設定確認
非アクティブなブラウザー セッションからユーザーを自動的にサインアウトします。
![2021-03-07_16h37_51.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/427097/ef368125-f9ee-3c36-1a1a-c7b32e50be2e.png)

アクティブでないユーザーをサインアウトするを「オン」にした場合
<dl>
  <dt>パラメータ</dt>
  <dd>次の時間の経過後にユーザーをサインアウトする(初期値1時間)</dd>
  <dd>サインアウトする前にユーザーに通知する(初期値5分)</dd>
</dl>

PS C:> Get-SPOBrowserIdleSignOut
Enabled WarnAfter SignOutAfter

---

True 00:55:00 01:00:00

詳細は公式ドキュメントを参照してください。
<a href="https://docs.microsoft.com/ja-jp/sharepoint/sign-out-inactive-users">アクティブでないユーザーをサインアウトする</a>

##「ネットワークの場所」の設定確認
特定の IP アドレスからのアクセスのみを許可します。
![2021-03-07_16h38_02.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/427097/f66394d9-24da-377f-b279-ab5cd679c084.png)

IPAddressAllowListに設定したIPアドレスが反映されます。

PS C:> Get-SPOTenant | Select-Object IPAddressAllowList
IPAddressAllowList

xxx.xxx.xxx.xxx/xx

詳細は公式ドキュメントを参照してください。
<a href="https://docs.microsoft.com/ja-jp/sharepoint/control-access-based-on-network-location">ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御する</a>

##「先進認証を使用していないアプリ」の設定確認
デバイス ベースの制限を強制できない Office 2010 およびその他のアプリからのアクセスをブロックします。
![2021-03-07_16h38_14.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/427097/3c099550-6361-eff1-d9a3-d257c9d01cfa.png)

アクセスをブロックすると、LegacyAuthProtocolsEnabled がFalseになります。

PS C:> Get-SPOTenant | Select-Object LegacyAuthProtocolsEnabled
LegacyAuthProtocolsEnabled

                 False

この機能に関する公式ドキュメントはないようなので、間接的なところで以下を紹介しておきます。
<a href="https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/block-legacy-authentication#what-you-should-know">方法:条件付きアクセスを使用して Azure AD へのレガシ認証をブロックする：知っておくべきこと</a>


##まとめ
もうちょっとEMS側に設定が入ると思っていましたが、実際にやってみるとほとんどSPO側の設定だけなんですね。
EMSライセンスをつけない時点で「管理されていないデバイス」だけしか制限がつかなかったので、結果は見えていたのですが。。。

たまに大きなプロジェクトでOffice365とEMSとで担当者が違っていたりすると、Office365側で勝手に「管理されていないデバイス」の設定をして、EMS側で混乱するなんてことがあるので「管理されていないデバイス」を設定するときは注意しましょう。