Office 365サインオン・ポリシーのベスト・セキュリティー・プラクティス

Office 365アプリで最大限のセキュリティーを確保できるように、以下のベスト・プラクティスを考慮してください:

レガシー・プロトコルを無効にする

IMAPやPOPなどのレガシー・メール・プロトコルではクライアント・アクセス・ポリシーや多要素認証(MFA)を処理できません。この場合、ユーザー資格情報を取得する潜在的な攻撃者がレガシー・プロトコルを使用してもMFAによる制限を受けないため、重大なセキュリティ-・リスクがもたらされる可能性があります。Oktaでは、これを回避するために、Office 365テナントでこうしたレガシー・プロトコルを無効にすることを推奨しています。次のMicrosoftドキュメントを参照してください:「Enable or disable POP3, IMAP, MAPI, Outlook Web App or Exchange ActiveSync in Office 365」

なりすましのUser-Agentからの保護

Oktaサインオン・ポリシーでは、ユーザーのブラウザーから送信されるUser-Agent要求ヘッダーに含まれる情報が評価されます。ただし、User-Agentは悪意のある人物によってなりすまされる可能性があります。これを回避するため、Oktaでは以下のプラクティスをお勧めします。

  • サインオン・ポリシーの作成時に、信頼できるクライアントのみを許可します。
  • アプリへのアクセスを許可するクライアント・タイプ、デバイス・プラットフォーム、および信頼の組み合わせを指定する、1つ以上のルールを作成します。
  • アプリにアクセスするために、Device Trustまたは多要素認証を要求します。「Okta Device Trustソリューション」および「多要素認証」を参照してください。

MFAに対応したプロトコルのみを許可する

Oktaでは、MFAに対応したプロトコルのみを許可するようにOffice 365サインオン・ポリシーを構成することを推奨しています。MFAを実施することで、堅牢なセキュリティ・フレームワークを確保できます。

アプリを最新の状態に保つ

(特に、Microsoft Outlookなどのシック・クライアントについて)エンドユーザーが最新のアプリ・バージョンを使用していることを確認します。

次の手順

デフォルトのOffice 365サインオン・ルール