Office 365サインオンポリシーのセキュリティのベストプラクティス
Office 365アプリで最大限のセキュリティを確保できるように、以下のベストプラクティスを考慮してください:
レガシープロトコルを無効にする
IMAPやPOPなどのレガシーメールプロトコルではクライアントアクセスポリシーや多要素認証(MFA)を処理できません。この場合、ユーザー資格情報を取得する潜在的な攻撃者がレガシープロトコルを使用してもMFAによる制限を受けないため、重大なセキュリティリスクがもたらされる可能性があります。Oktaでは、これを回避するために、Office 365テナントでこうしたレガシープロトコルを無効にすることを推奨しています。Microsoftのドキュメントを参照してください。
なりすましUser-Agentからの保護
Oktaのサインオンポリシーでは、ユーザーのブラウザーから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。ただし、User-Agentは悪意のあるアクターによるなりすましが可能です。これを回避するために、Oktaでは以下の実践をお勧めします。
- サインオンポリシーの作成時に、信頼できるクライアントのみを許可する。
- アプリへのアクセスを許可するクライアントタイプ、デバイスプラットフォーム、信頼の組み合わせを指定する、1つまたは複数のルールを作成する。
- アプリにアクセスするために、Device TrustまたはMFAを要求する。「デバイス」および「多要素認証」を参照してください。
MFA対応プロトコルのみを許可する
Oktaでは、MFA対応プロトコルのみを許可するようにOffice 365サインオンポリシーを構成することを推奨しています。MFAを強制適用することで、信頼性の高いセキュリティフレームワークを確保できます。
アプリを最新状態に保つ
(特に、Microsoft Outlookなどのシッククライアントについて)エンドユーザーが最新のアプリバージョンを使用していることを確認します。