Office 365サインオンポリシーのセキュリティのベストプラクティス

Office 365アプリで最大限のセキュリティを確保できるように、以下のベストプラクティスを考慮してください:

レガシープロトコルを無効にする

IMAPやPOPなどのレガシーメールプロトコルではクライアントアクセスポリシーや多要素認証(MFA)を処理できません。この場合、ユーザー資格情報を取得する潜在的な攻撃者がレガシープロトコルを使用してもMFAによる制限を受けないため、重大なセキュリティリスクがもたらされる可能性があります。Oktaでは、これを回避するために、Office 365テナントでこうしたレガシープロトコルを無効にすることを推奨しています。Microsoftドキュメント:「Enable or disable POP3, IMAP, MAPI, Outlook Web App or Exchange ActiveSync in Office 365」を参照してください。

なりすましUser-Agentからの保護

Oktaのサインオンポリシーでは、ユーザーのブラウザーから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。ただし、User-Agentは悪意のあるアクターによるなりすましが可能です。これを回避するために、Oktaでは以下の実践をお勧めします。

  • サインオンポリシーの作成時に、信頼できるクライアントのみを許可する。
  • アプリへのアクセスを許可するクライアントタイプ、デバイスプラットフォーム、および信頼の組み合わせを指定する、1つまたは複数のルールを作成する。
  • アプリにアクセスするために、Device TrustまたはMFAを要求する。「Okta Device Trustソリューション」および「多要素認証」を参照してください。

MFA対応プロトコルのみを許可する

Oktaでは、MFA対応プロトコルのみを許可するようにOffice 365サインオンポリシーを構成することを推奨しています。MFAを強制適用することで、信頼性の高いセキュリティフレームワークを確保できます。

アプリを最新状態に保つ

(特に、Microsoft Outlookなどのシッククライアントについて)エンドユーザーが最新のアプリバージョンを使用していることを確認します。

次の手順

デフォルトのOffice 365サインオンルール