Office 365サインオンポリシーのセキュリティのベストプラクティス
Office 365アプリで最大限のセキュリティを確保できるように、以下のベストプラクティスを考慮してください:
レガシープロトコルを無効にする
IMAPやPOPなどのレガシーメールプロトコルではクライアントアクセスポリシーや多要素認証(MFA)を処理できません。この場合、ユーザー資格情報を取得する潜在的な攻撃者がレガシープロトコルを使用してもMFAによる制限を受けないため、重大なセキュリティリスクがもたらされる可能性があります。Oktaでは、これを回避するために、Office 365テナントでこうしたレガシープロトコルを無効にすることを推奨しています。Microsoftドキュメント:「Enable or disable POP3, IMAP, MAPI, Outlook Web App or Exchange ActiveSync in Office 365」を参照してください。
なりすましUser-Agentからの保護
Oktaのサインオンポリシーでは、ユーザーのブラウザーから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。ただし、User-Agentは悪意のあるアクターによるなりすましが可能です。これを回避するために、Oktaでは以下の実践をお勧めします。
- サインオンポリシーの作成時に、信頼できるクライアントのみを許可する。
- アプリへのアクセスを許可するクライアントタイプ、デバイスプラットフォーム、信頼の組み合わせを指定する、1つまたは複数のルールを作成する。
- アプリへのアクセスに、Device Trustまたは多要素認証を要求します。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">See Devices and Multifactor Authentication.</MadCap:conditionalText>
MFA対応プロトコルのみを許可する
Oktaでは、MFA対応プロトコルのみを許可するようにOffice 365サインオンポリシーを構成することを推奨しています。MFAを強制適用することで、信頼性の高いセキュリティフレームワークを確保できます。
アプリを最新状態に保つ
(特に、Microsoft Outlookなどのシッククライアントについて)エンドユーザーが最新のアプリバージョンを使用していることを確認します。