Office 365 を安全に利用するリモートワーク環境の実装について

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

最近、働き方改革のひとつとして挙げられるリモートワーク(テレワーク/在宅勤務)の導入をご検討するお客様が増えています。特にリモートワークは自宅でも仕事ができるという点から、台風や地震といった災害時、今回の新型コロナウィルスの感染拡大の防止策といったBCP(事業継続計画)の一環としても必要性が非常に増してきています。

リモートワーク導入に踏み切れない課題とは

しかしながら、効果やメリットは理解されているにも関わらず、その反面で下記のような課題に直面して導入が進まないケースも多いのではないでしょうか?

■ 情報漏えいなどのセキュリティ面のリスク

・ 機密データの社外持ち出し

・ 自宅PCや私的モバイルデバイスの利用

・ 会社管理PCを社外で利用

■ リモートワークのためのIT環境の導入・運用コスト

・ VDI や VPN は高コストで整備できない

自宅からでも安全に Office 365 を利用できるリモートワーク環境を実現

Office 365 をご利用中のお客様であれば、Microsoft 365 によるセキュリティ ソリューションを追加して活用いただくと「メールやデータのダウンロードを禁止し、自宅環境に機密データを残さない」というセキュリティ対策を簡単かつ迅速に実施することができます。

本稿では、この要件を満たす「Microsoft Cloud App Security を利用したセッション制御機能」をご紹介いたします。

セッション制御機能により下記の制御をかけることができます。

  • ダウンロードをブロックする
  • 切り取り/コピー/貼り付けをブロックする
  • 印刷をブロックする

ご用意いただくもの

  • (現在、ご利用中の) Office 365 Business Premium/E1/E3/E5
      +
  • Enterprise Mobility + Security E3
     ・ Azure Active Directory P1
     ・ Microsoft Intune

会社管理PCを自宅に持ち帰って使用するケースを想定している場合は、デバイス保護強化も効果的な対策です。

  • Microsoft Defender Advanced Threat Protection
    ※本稿での説明は割愛させていただきます。ご了承ください。

設定手順

設定は下記の3つの手順となります。

  • [STEP.1] Azure AD の条件付きアクセスでセッション制御を有効化する
  • [STEP.2] Microsoft Cloud App Security でセッション制御の有効化を確認する
  • [STEP.3] Microsoft Cloud App Security でセッションポリシーを設定する

[STEP.1] Azure AD の条件付きアクセスでセッション制御を有効化する

セッション制御を有効にするために「条件付きアクセス」でポリシーを作成します。

  1. Azure Active Directory 管理センター (https://aad.portal.azure.com) にサインインし、
    [Azure Active Directory] -> [セキュリティ] -> [条件付きアクセス] -> [新しいポリシー] の順にクリックします。
     
  2. ポリシー作成の新規画面で、[割り当て] -> [クラウド アプリまたは操作] の順にクリックし、
    [アプリを選択] から「Office365 Exchange Online」「SharePoint Online」を選択します。
     
  3. ポリシー作成の新規画面で、[割り当て] -> [条件] -> [クライアント アプリ (プレビュー)] の順にクリックし、
    [構成] で「はい」を選択し、[ブラウザー] のみにチェックを付けます。
     
  4. ポリシー作成の新規画面で、[割り当て] -> [条件] -> [デバイスの状態 (プレビュー)] の順にクリックし、
    [構成] で「はい」を選択し、[対象外] として [ハイブリッド Azure AD 参加済みデバイス] と [デバイスは準拠としてマーク済み] に
    チェックを付けます。

この設定で「会社管理ではない端末(=自宅PCや私的モバイルデバイスなど)から Exchange Online または SharePoint Online にアクセスする場合は、ブラウザーのみに限定する」ポリシーとなります。
個人が所有する端末を設定無しで利用可能となるため運用負荷が高まることもありません。

  1. ポリシー作成の新規画面で、[アクセス制御] -> [セッション] の順にクリックし、[アプリの条件付きアクセス制御を使う] にチェックを付け、「カスタムポリシーを使用する」を選択します。

この設定で「Microsoft Cloud App Security で設定したポリシーに基づいてセッション制御する」というポリシーとなります。

[STEP.2] Microsoft Cloud App Security でセッション制御の有効化を確認する

[STEP.1] で設定した条件付きアクセスによるセッション制御が有効になっていることを確認します。

  1. 先ずは Exchange Online、SharePoint Online にサインインします。
    Office 365 サインインページ(https://www.office.com/signin
     
  2. Cloud App Security 管理ポータル(https://portal.cloudappsecurity.com)にサインインし、
    [調査] -> [接続アプリ] -> [アプリの条件 付きアクセス制御アプリ] の順にクリックします。
     
  3. 一覧に Exchange Online と SharePoint Online が表示されていることを確認します。

[STEP.3] Microsoft Cloud App Security でセッションポリシーを設定する

最後に Microsoft Cloud App Security でセッションポリシーを作成します。
「ファイルのダウンロードをブロックするポリシー」と「画面の切り取り/コピー/貼り付け/印刷をブロックするポリシー」の2つを作成します。

  1. Cloud App Security 管理ポータル(https://portal.cloudappsecurity.com)にサインインし、
    [制御] -> [ポリシー] -> [ポリシーの作成] -> [セッション ポリシー] の順にクリックします。

【ファイルのダウンロードをブロックするポリシー】

  1. セッション ポリシーの作成画面で、[ポリシー テンプレート] 欄から [リアルタイムのコンテンツ検査に基づいてダウンロードをブロックします]
    を選択し、[テンプレートを適用] をクリックします。
     
  2. [検査方法] 欄から「なし」を選択します。

【画面の切り取り/コピー/貼り付け/印刷をブロックするポリシー】

  1. セッション ポリシーの作成画面で、[ポリシー テンプレート] 欄から
    [リアルタイムのコンテンツ検査に基づいて切り取り、コピー、貼り付けをブロックします] を選択し、
    [テンプレートを適用] をクリックします。
     
  2. [アクティビティ ソース] -> [ポリシーにアクティビティ フィルターを追加する] の
    [アクティビティの種類] 欄の右側にあるドロップダウンリストで
    [Print], [Cut/Copy item], [Paste item] のすべてにチェックを付ける。
     
  3. [コンテンツ検査] 欄の [有効] チェックボックスのチェックを外します。

設定は以上で終了です。

導入支援について

当社では「Microsoft 365 で実現する安全なリモートワーク環境」の導入支援サービスをご提供しております。
設定・構成についての支援や継続的な運用サポートを必要とするお客様は是非ご相談ください。

▼ Microsoft 365 で実現する安全なリモートワーク環境の導入支援サービス
https://cloudsteady.jp/solution/m365-remotework

いいね (この記事が参考になった人の数:5)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください