Comparisons Brawte nfaq 0 Comments

管理者の皆様、ご注意ください!Microsoft、Office 365メールサービスの認証に「破壊的な」変更を予告

Table of Contents

管理者の皆様、ご注意ください!Microsoft、Office 365メールサービスの認証に「破壊的な」変更を予告

Microsoft は、Office 365 で使用される電子メール サービスである Exchange Online へのメール クライアントの認証方法の今後の変更について、詳細を明らかにしました。

2018 年 3 月、Microsoft は、Exchange Online を含む Office 365 サービスに最新の認証を必須とし、これが 2020 年 10 月 13 日から施行されると発表しました。Microsoft は、この日以降、「Office 365 サービスに接続するには、メインストリーム サポート対象の Office 365 ProPlus または永続ライセンスの Office が必要になります」という 2017 年の声明を参照しました。

先進認証とは、OAuth 2.0のことです。アプリケーションはユーザー名とパスワードではなく、Azure Active Directoryにアクセストークンを要求して接続します。これにより、多要素認証、条件付きアクセスポリシー、その他のセキュリティ機能が可能になります。

2019年9月、Microsoftは10月より「Exchange OnlineにおけるExchange ActiveSync(EAS)、POP、IMAP、リモートPowerShellの基本認証を無効にする」と発表しました。基本認証が引き続きサポートされる唯一のサービスは、メール送信に用いられるSMTPです。これは「膨大な数のデバイスやアプライアンス」で使用されているためです。

マイクロソフトはさらなるアップデートを公開しました。Exchange Onlineは既にモダン認証をサポートしていますが、これは一般的なメールクライアントで使用されるPOPおよびIMAPサービスにはまだ適用されていません。マイクロソフトは、「現在、Exchange OnlineでPOPおよびIMAP向けのモダン認証サポートを展開中です」と述べています。

マイクロソフトは、ある意味では十分な事前通知を行ったものの、管理者が変更をテストし、展開する時間をほとんど与えておらず、ようやく利用可能になったことは注目に値します。Office 365の管理タスクのスクリプト作成に使用されるPowerShellの状況はさらに悪化しています。

「われわれはまだコードに熱心に取り組んでいる。今後数カ月以内にこれについてさらに詳しい情報をお伝えする予定だ」とマイクロソフトは述べた。

特にメールの場合、問題はすべてのメールクライアントがモダン認証をサポートしているわけではないことです。スキャナーやコピー機などの家電製品は最悪ですが、これらは主にメールを受信するのではなく送信するため、SMTPを使用できます。「メールをポーリングするデバイスをお持ちで、ベンダーがPOPおよびIMAPのモダン認証をサポートするようにデバイスを更新できない場合、残念ながら問題が発生します」とMicrosoftは述べ、「これらのデバイスはセキュリティチェーンの脆弱なリンクとなることがよくあります。認証情報がデバイスに保存されており、誰もパスワードを変更しません」と付け加えています。

Windows版およびMac版のOutlookの旧バージョンが影響を受けます。Outlook 2013は先進認証を使用できますが、レジストリの変更が必要です。Mac版Outlookは2016年のアップデートでこの機能に対応しました。

Androidのメールアプリも問題となっている。「ここで問題となっているのは、Exchange ActiveSyncの基本認証を無効にすると、ネイティブメールアプリを使用しているほぼすべてのAndroidスマートフォンがOffice 365に接続できなくなることです。ただし、モダン認証をサポートするSamsungデバイスは例外です」とあるユーザーはコメントしている。

マイクロソフトは、「ネイティブアプリではなく、iOS版およびAndroid版Outlookへの切り替えを強くお勧めします。Exchange Onlineに接続することで、ネイティブアプリに比べてセキュリティとビジネス上のメリットが数多く得られます」と述べています。

もう1つの要因として、2017年8月以前に作成されたOffice 365テナントでは、Exchangeを含む一部のサービスで先進認証が無効になっていることが挙げられます。管理者はPowerShellコマンドを使用してこれを有効化する必要があります。

管理者の皆様に「混乱を招く可能性のある」変更への対応を支援するため、Microsoft は Azure AD のプレミアム版をご利用のお客様に、最新の Azure AD サインインレポートを提供しています。E3 などのエンタープライズ向け Office 365 テナントをご利用の場合でも、追加費用*をお支払いいただかない限り、このレポートはご利用いただけません。サインイン後は、サインイン情報を確認し、フィルター処理を行って、基本認証を使用している接続(存在する場合)を確認できます。

Microsoftの便利なサインインレポートにはプレミアムAzure ADが必要です

Microsoftの便利なサインインレポートにはプレミアムAzure ADが必要です

Microsoftの言う通りです。基本認証はセキュリティ上の脆弱性となる可能性があり、Office 365の認証情報をコピー機などに詰め込み、設定にアクセスするためにデフォルトのパスワードで保護するのは、非常に危険な行為です。中小企業では、グローバル管理者の認証情報がそこに保存されているケースさえ見受​​けられます。このような状況を含め、基本認証を無効にすることでセキュリティが向上します。

ただし、壊れるものもあり、会社はすべてのサービスの準備が遅れています。®

* 2月27日9時に更新され、以下の内容が追加されました:

マイクロソフトは、「変更をすぐに展開し、すべての顧客が利用できるようにする」と連絡を取っている。

Comparisons

Smart Recommendations

Discover More