Office 365サインオンポリシーでカスタムクライアントを許可または拒否する
Office 365アプリのサインオン・ルールで特定のクライアントをフィルタリングし、Office 365リソースへのアクセスを許可または拒否することができます。このフィルターは、対応または信頼していない特定のクライアントへのアクセスを拒否する必要がある場合に、特に便利です。また、このフィルターを使用して、信頼できるクライアントのみを許可することもできます。これにより、Office 365アプリへのアクセス権を持つクライアントをより詳細に制御できます。
ベスト・プラクティス
Oktaのサインオンポリシーでは、ユーザーのブラウザーから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。ただし、User-Agentは悪意のあるアクターによるなりすましが可能です。これを回避するために、Oktaでは以下の実践をお勧めします。
- サインオンポリシーの作成時に、信頼できるクライアントのみを許可する。
- アプリへのアクセスを許可するクライアントタイプ、デバイスプラットフォーム、および信頼の組み合わせを指定する、1つまたは複数のルールを作成する。
- アプリにアクセスするために、デバイスの信頼またはMFAを要求する。「Okta デバイスの信頼ソリューション」および「多要素認証」を参照してください。
この手順を開始する
Office 365アプリで、
-
[Sign On(サインオン)]タブ[Sign On Policy(サインオン・ポリシー)]>[ルールを追加]に移動します。[App Sign On Rule(アプリのサインオン・ルール)]ポップアップ・ウィンドウが表示されます。
- [Client(クライアント)]セクション [If the user's client is any of these(ユーザーのクライアントが次のいずれかの場合)]で [Custom(カスタム)]を選択します。
-
アクセスを許可または拒否するクライアントの名前を入力します。下の「カスタム・クライアント・フィルターのテキスト・ボックスについて」セクションをご覧ください。
- 必要に応じて他のセクションを完了し、[保存]をクリックします。「Office 365サインオンポリシーのスタートガイド」を参照してください。
- [Sign On Policy(サインオンポリシー)]セクションに戻り、このルールを適切な優先度レベルに位置付けします。Oktaで各ルールを優先度に従って評価し、最初に一致したルールを適用します。
- アクセスを許可または拒否するそれぞれのカスタム・クライアントに対して、ステップ1〜5を繰り返します。
重要
[Client(クライアント)]セクション [If the user's client is any of these(ユーザーのクライアントが次のいずれかの場合)]で、サインオンルールに[Web Browser(Webブラウザー)]と[Custom(カスタム)]の両方のオプションを選択した場合、これらいずれかのオプションが該当する場合にそのルールが適用されます。
カスタムクライアントフィルターのテキストボックスについて
- 最大文字数は100(Identity Engineでは256)です。
- 特殊文字も使用できます。
- テキストは大文字と小文字が区別されません。たとえば、「WinWord」、「winword」、 「Winword」はすべて同じ取り扱いになります。
- ホワイト・スペース(前付け、後付け、単語間)はいずれもそのまま使用されます。たとえば、「 WinWord 」(前後にホワイトスペース)、 「WinWord」(ホワイトスペースなし)、 「Win Word」は異なるものとして取り扱われます。
- テキスト・ボックスを空のままにしたり、ホワイト・スペースのみ入力するとエラーになります。
このルールにより、指定されたクライアントをフィルタリングして、ルールで定義された他の条件とアクションを適用し、Office 365へのアクセスを許可または拒否できるようになります。