IT部門のあずかり知らないところで従業員が許可なく「Microsoft Teams」で社外関係者とのチームを作り、社外秘のファイルをやりとりしていた……。そうしたヒヤリハットを防ぐために、確認しておきたい「Microsoft 365」の初期設定を紹介する。
各社によってツールやサービスの運用ポリシーは異なる。特にセキュリティ面は企業独自のポリシーや運用ルールがあるため、管理者は各種設定をどこまで自社運用に合わせるべきかが悩みどころだ。今回は「Microsoft 365」のセキュリティ設定に関するお悩みに答える。
2010年に内田洋行でMicrosoft 365(当時はBPOS)の導入に携わり、以後は自社、他社問わず、Microsoft 365の導入から活用を支援し、Microsoft 365の魅力に憑りつかれる。自称Microsoft 365ギーク。多くの経験で得られたナレッジを各種イベントでの登壇や書籍、ブログ、SNSなどを通じて広く共有し、2013年にはMicrosoftから「Microsoft MVP Award」を受賞。
Microsoft 365は機能やサービスが多いため、導入時に全ての設定項目を把握するのは困難です。また、自社のルールに沿った設定変更が増えると動作検証の工数も増え、導入工数に加えて運用コストが膨らむ恐れもあります。そうならないためにも、まずは既定の設定と動作の把握から始めた方がいいでしょう。今回は主にセキュリティに関する設定に軸を置き、企業の多くで検討されるMicrosoft 365の3つの設定項目についてお話しします。
前提となるのが「安心して利用できること」です。グローバルで利用されているMicrosoft 365は、サイバー攻撃の対象にもなりやすいと言われています。こうした攻撃への対策としてまず見るべき設定項目が「多要素認証」です。ユーザーIDとパスワードに加えて「Microsoft Authenticator」などスマートフォンの認証アプリや、SMS(ショートメッセージ)で届く確認コードなど2つ以上の認証を組み合わせることでより安全にサインインできます。
Microsoft 365はデフォルトで多要素認証の利用が有効化された状態となっており、14日間以内に多要素認証の設定を完了することが求められます。これは「Azure ADのセキュリティの既定値」の設定によるもので、Microsoftによって決められた設定を全ユーザー(従業員)に適用することで、管理者の手間を増やすことなくセキュリティ対策を強化できます。
Azure ADのセキュリティの既定値による設定では、スマートフォンの認証アプリのみが多要素認証に利用でき、それを利用できない場合には不都合が生じます。また、災害などの非常事態により、スマートフォンなど多要素認証に用いるデバイスの消失や携帯ネットワークの遮断などを想定し、多要素認証から除外した緊急時用管理者アカウントの作成が必要なケースもあります。そうした場合には、ユーザー個別に多要素認証を有効化することも可能です。
多要素認証から除外した緊急時用管理者アカウントには、複雑で十分な長さのパスワードを設定します。パスワードを紙に書き記す際は2つ以上の異なる紙に分け、個別に金庫などにしまうなどの厳重な管理を行います。
■参考リンク
自社のポリシーに基づいてさらに詳細な設定を行いたい場合は、「Azure AD Premium」の利用も検討しましょう。例えば「Azure AD条件付きアクセス」によって、ユーザーや利用場所に応じて多要素認証を強制するなど細かな制御が可能になります。
社内のヘルプデスクに寄せられる問い合わせで多いのが「パスワードが分からなくなったのですが、どうすればいいでしょうか」という質問です。ユーザー自身でパスワードを再設定できるようになれば、ユーザーの利便性向上とともに管理者やヘルプデスクの負荷軽減にもつながります。Microsoft 365には、そうした時のための機能「セルフサービスパスワードリセット」(SSPR)があります。
セルフサービスパスワードリセットは既定では無効化されているため、管理者によってAzure Active Directory 管理センターで有効化する必要があります。機能が有効化されたテナントでは、ユーザーがサインインする際の「パスワードを忘れた場合」から、あらかじめ登録しておいた電話番号などの情報を基にパスワードを再設定できます。
注意すべき点として、この機能によってパスワードをリセットできるのはMicrosoft 365に登録されたクラウドのユーザーアカウントのみです。企業によっては「Azure AD Connect」でオンプレミスのActive DirectoryとAzure ADの間でユーザーアカウントと同期させている場合があります。このとき、Azure ADのセルフサービスパスワードリセットによって変更されたパスワードをオンプレミスのユーザーアカウントにも反映させるには、Azure AD Premiumのライセンスが必要になります。使い方や利用構成に応じて、追加のライセンスを確認するといいでしょう。
Microsoft 365のツールやサービスを使って社内ユーザーだけでなく社外のユーザーともファイルを共有したり、「Microsoft Teams」などでチャットをしたりすることもできます。しかし、操作に不慣れな従業員が誤ったアクセス権を設定してしまわないかなど、管理者としては不安に感じることもあるでしょう。従業員が操作に慣れるまでは外部共有を制限するなど、共有設定を変更する必要があります。
最も簡単に外部共有を制限するには、Microsoft 365管理センターの「組織の設定」にある「共有」の設定を変更する方法があります。「ユーザーが組織に新しいゲストを追加できるようにします」のチェックを外し、さらに「Microsoft SharePoint」(以下、SharePoint)の設定で、ユーザーが共有できる相手を「既存のゲストのみ」または「組織内のユーザーのみ」とすることで、管理者以外は社外ユーザーとファイルやチームを共有することができなくなります。
中には、「社外のユーザーとは情報を共有したいが、SharePoint Onlineや『Microsoft OneDrive for Business』(以下、OneDrive)だけはファイルの公開を制限したい」といった公開範囲を限定したいという要望もあります。これは、SharePoint管理センターにあるポリシーの「共有>外部共有」によって設定できます。既定では「すべてのユーザー」が選択されており、ユーザーが自由に社外へファイルを公開できる状態になっています。この設定を「新規および既存のゲスト」や「既存のゲスト」に変更することで、ゲストユーザーのみにファイルを共有できるようになります。
この他にもSharePointやOneDriveでは、招待を許可するドメインを制限するなど細かな設定ができます。すでに運用しているMicrosoft 365 テナントであっても、あらためて確認しておくといいでしょう。
冒頭にも述べたようにMicrosoft 365の設定項目は多岐にわたり、それらを全て把握することは困難です。しかし、面倒ではありますが「いつ、誰が、どの設定項目を変更したか」といった記録は残しておきましょう。設定変更によって思わぬ動作が生じた場合でも、記録をたどればトラブルシューティングの役に立ち、ひいては管理工数の低減につながるかもしれません。
そもそも、各ツールおよびサービスの設定変更の方法が分からない場合は、Microsoft 365の契約に含まれる無償のサポートサービスを利用しましょう。Microsoftのサポートチームや、CSP(Cloud Solution Provider)パートナーの窓口に問い合わせれば、設定方法や機能の使い方などどんな細かいことでも相談できるのでおすすめです。その他、150以上のライセンスを契約した場合は、導入支援サービス「Microsoft FastTrack」の特典が利用できることもあります。こちらも追加コスト不要で受けられるサービスのため、利用を検討してみるのもいいでしょう。
Microsoft 365は提供される機能やサービスが多く、機能も毎月アップデートされています。全てを完璧な状態に設定して利用しようとすると、導入までのリードタイムやコストが大きくなってしまいがちです。まずは、必ず押さえておくべきセキュリティ面に絞って設定を見直し、その他の利便性に関する設定は使っていく中で考えるといいでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。