クラウド時代である現代において、チームと従業員間の連携をさらに推進するため、あらゆるデバイス間でシームレスなアクセスを可能にするソリューションが開発されています。この新たな働き方が推進されている一方で、クラウド セキュリティの強化も推進されています。
クラウド体験を向上し、クラウド ベースの環境においてより安全な認証を実現するため、Microsoft は拡張セキュリティとアクセシビリティを組み合わせることで、パスワード不要の条件付きアクセスや、多要素認証、スマート カードといった最先端の認証方法を提供しています。
さらに Microsoft は、クラウドへの安全なアクセスを推進するため、2021 年下期に基本認証を無効化し、先進認証を Outlook のデフォルト認証に設定することを発表しました。
このブログでは、認証方法が切り替えられる前に知っておくべき 4 つの重要なポイントをご紹介します。
※この記事は、米国 AvePoint で 2021 年 8 月 3 日付で公開された記事 “4 Things You Should Know Before Enabling Modern Authentication for Outlook” の内容を日本語訳したものです。
1.お使いの Outlook は先進認証に対応していますか?
何よりもまず知っておくべきことは、Outlook のすべてのバージョンが先進認証に対応しているわけではないということです。
Outlook 2016 と 2019 はデフォルトで先進認証に対応しているため、新しいフローを使用するにあたり特別な設定は一切不要です。ただし、Microsoft のオンライン サインイン アシスタントや基本認証など以前の認証に対応しているバージョンの Outlook では設定が必要となります。
したがって、Outlook 2013 で先進認証を有効にするには、登録キーが必要となります。また、登録キーは、先進認証を有効にするすべてのデバイスに対して設定する必要があります。
一方 Outlook 2010 ではいかなる方法でも先進認証に対応できないため、引き続き基本認証が使用されます。
Outlook で Microsoft の先進認証を有効に設定する方法に関する詳細は、こちらをご確認ください。
2.認証情報を使用してログインする必要があります
Exchange Online の先進認証を有効に設定すると、UPN とパスワードを入力してログインすることを求めるブラウザベースのポップアップが表示されます。
- フェデレーション セットアップのログイン ドメインの場合: アイデンティティ プロバイダー (ADFS、Ping、Okta など) にログインするためユーザーはリダイレクトされるようになります。
- ドメインが Azure で管理されている場合またはパススルー認証用に設定されている場合: ユーザーは Azure で直接認証されるか、Active Directory ドメイン サービスの代わりに Azure で認証されるようになります。
加えて、多要素認証 (MFA) / 条件付きアクセス (CA) の設定も確認する必要があります。MFA または MFA を求める CA が有効に設定されている状態でユーザー アカウントが設定されている場合、ユーザーの判断には条件付きアクセス ポリシーが使用されます。
Exchange Online で先進認証を有効にすると Outlook の再起動も必要となります。そして再起動が必要となることから、3 つ目のポイントが重要になります。
3.テナント全体でのみ有効化されます
先進認証の有効化はユーザー、グループ、または類似の構造ごとにではなく、テナント全体でのみ実行されるため、専門家はメンテナンス期間や試験中に有効化をすることを推奨しています。前述の通り、基本認証から先進認証への変更または先進認証から基本認証への変更を行う場合には、Outlook の再起動が必要となります。
また、Exchange Online のインフラストラクチャは規模が大きいため、Exchange Online サーバーすべてに対して変更が複製されるまでに時間がかかる可能性があります。したがって、変更後すぐに設定が切り替わらないことがあります。
4.Outlook アカウントの認証情報が異なる場合、接続が切断される可能性があります
頻発しているわけではありませんが、Office 365 テナントで先進認証を有効に設定した後、Outlook for Windows が受信トレイに接続しないという問題が一部のユーザーから報告されています。
この問題は一般的に、ひとつの Outlook プロファイルに複数の受信トレイがあり、いずれかの受信トレイがユーザーの Windows ログインとは異なるログイン アカウントを使用している場合に発生します。また、いずれかの受信トレイがオンプレミスで RPC を使用している一方で、他の受信トレイを Exchange Online 上で使用している場合にも発生する可能性があります。
この接続切断の問題は、受信トレイへのアクセスに必要な適切なアカウントの認証情報の代わりにデフォルトの認証情報が入力された場合に発生する誤通信の問題により生じることが認められています。
専門家は、この問題が発生した場合には Outlook のプロファイルを再作成することを推奨しています。詳細については、こちらをご確認ください。
追加情報:
何度もログインを試行することを防ぐため、専門家は Skype for Business Online など Exchange Online で認証を行う他のアプリに対して先進認証を有効に設定し、これらのアプリと同期することを推奨しています。
最後に
さまざまなランサムウェア攻撃が発生している現在、用心するに越したことはありません。安全な認証方法を適用することはほんの小さな変更にすぎないかもしれませんが、組織を守る上で大きな効果をもたらします。
★Microsoft 365, SalesforceⓇ, Dynamics 365, Google workspace 対応バックアップソリューションのマルチクラウドバックアップについてはこちらからご覧ください。
導入事例はこちらから。
日本ビジネスシステムズ株式会社様
テクバン株式会社様
この変更を導入する際にユーザーに協力してもらい、ユーザーがアカウントを再度認証する際に混乱が生じることを避けるため、ユーザーに影響が及ぶ変更についてはすべて必ずユーザーに伝えてください!
当社ブログでは、Microsoft 365 に関する最新情報などを随時配信しています。ぜひ配信登録を行ってください。