Verizonレポートによると、データ侵害の大部分は、特に電子メールサーバーにおいて、妥協された資格情報によって可能にされています。社会工学、資格情報のフィッシング、および総当たり攻撃は、悪意のある行為者が資格情報を盗むために使用する方法のいくつかです。
オフィスログインのセキュリティを向上させ、データ侵害を防ぐために、Microsoftはモダン認証方法を導入しました。この方法は、オンラインのOffice 365リソースに接続する際に、追加のユーザー認証と承認が必要です。
その利点が大きいため、モダン認証は2017年以降に作成されたすべてのOffice 365テナントでデフォルトで有効になっています。これは、Office 365アプリとサービスで利用可能な唯一のログイン方法です。ただし、ハイブリッドオンプレミス-クラウドオフィス展開では、古いOfficeクライアントバージョンのモダン認証を手動で有効にし、可能な限り基本認証を無効にする必要があります。
このブログでは、ハイブリッドオフィス展開向けの基本的な認証方法とモダン認証方法について簡単な概要を提供し、Office 365でモダン認証を有効にする手順を示します。
モダン認証と基本認証の比較
2022年末を予定まで、MicrosoftはExchangeとSkype for Businessのハイブリッド展開のために2種類の認証を提供します:基本認証とモダン認証。クライアントを使用してSharePoint Onlineに接続する場合は、モダン認証とMicrosoft Online Sign-in Assistantのみが利用可能です。
これら2つの認証方法は、保護機能の面で大きく異なります。基本認証が今年後半に廃止される予定ですが、2つのオプションの違いを理解することが重要です。
基本認証とは何ですか?
基本認証は、ユーザー名とパスワードのみを使用してOffice 365アプリケーションに接続するプロセスです。メールクライアントにユーザー名とパスワードを入力すると、これらがクラウドサービスに接続する前にExchange Onlineに送信され、検証および認証されます。
これは古い方法であり、資格情報の脅威に対する十分な保護を提供できなくなっています。基本認証の主な脆弱性の1つは、アプリケーションがユーザーの資格情報をデバイスに保存することで、パスワードを盗もうとするハッカーによる機会が増えることです。さらに、Microsoftの条件付きアクセスや多要素認証(MFA)などの多くのIDおよびアクセス管理機能は、このOffice 365のレガシー認証では利用できません。
モダン認証とは何ですか?
現代の認証は、さまざまな認証および認可方法を組み合わせて、Microsoft Officeクラウドリソースにアクセスするためのものです。現代の認証は、Active Directory認証ライブラリ(ADAL)とOAuth 2.0に基づいています。
- Active Directory認証ライブラリは、アプリがセキュリティトークンを介して保護されたリソースにアクセスするための認証ツールです。ADALを使用すると、ユーザーはOffice 365リソースにシームレスにアクセスできるシングルサインオン(SSO)も取得できます。
- OAuth 2.0は、ユーザーがアクセストークンを使用してクライアントアプリを介してリソースにアクセスできるようにする認可プロトコルです。このフレームワークにはアクセス委任が含まれており、ユーザーの資格情報はリソースサーバーと共有されません。
現代の認証フレームワークは、クライアントアプリからMicrosoft 365リソースにログインするユーザーのセキュリティを強化する追加のセキュリティレイヤーを追加します。さらに、このフレームワークでは、多要素認証(MFA)の有効化や条件付きアクセスポリシーの使用も可能です。
Office 365で現代の認証を有効にする方法
2017年8月以前に作成されたMicrosoftテナントの場合、Office 365で現代の認証を有効にするための異なる方法があります:
Microsoft 365管理センターを使用する
管理センターを介してOffice 365で現代の認証を有効にするには:
- Microsoft 365管理センターにログインします。
左側のナビゲーションペインで 設定 を展開し、組織の設定 をクリックします。 - 左のナビゲーションウィンドウで、設定を展開し、次に組織設定をクリックします。
- 下のサービスで、モダン認証を選択します。
- 次に、Outlook 2013 for Windows 以降のモダン認証を有効にする(推奨)チェックボックスを選択します。
- 最後に、保存をクリックします。
Exchange Online PowerShellを使用する
以下の手順に従って、Exchange Online PowerShellを使用してモダン認証を有効にします。
- Exchange Online PowerShellに接続する.
- Outlook 2013以降のクライアントのために以下のコマンドを実行します。
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - 変更が成功したことと、モダン認証が有効になっていることを確認するために、以下のコマンドを実行します。
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
この操作は、基本認証方法の使用を停止するものではありません。ただし、Outlook 2013以降でO365のレガシ認証の使用を強制するには、以下のコマンドを実行します。
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Office 365の基本認証を無効にする
Office 365でモダン認証を有効にした後、基本認証プロトコルを無効にできます。ただし、誰もがそれを利用していないことを確認する必要があります。基本認証を使用しているユーザーがいるかどうかを確認するには、以下の手順に従います。
- あなたのMicrosoft Azureアカウントを開きます。
- Azure Active Directoryにアクセスします。
- 左のナビゲーションペインでSign-in logsを選択します。
- Date rangeをLast 7 days以上に変更します。
- Add filtersをクリックします。
- Client appを選択してからApplyをクリックします。
- 新しく作成されたフィルタClient appをクリックします。
- Legacy Authentication Clientsの下のすべてのボックスにチェックを入れます。
- Applyをクリックします。
このリストには、対応するユーザーとアプリケーションのすべてのサインインイベントが含まれています。基本認証を無効にする前に、これらのすべてのアプリケーションを現代の認証プロトコルに移行することで、それらを失うことはありません。
O365のレガシ認証を無効にするには:
- Microsoft 365 admin centerにアクセスします。
- 左のナビゲーションペインで、Settingsを展開してOrg settingsをクリックします。
- Servicesの下でModern authenticationを選択します。
- Allow access to basic authentication protocolsの下のすべてのチェックボックスをオフにします。
- Saveをクリックします。
Outlook Modern Authentication
最新のOutlookエディションはデフォルトで現代化認証をサポートしていますが、古いクライアントに追加するには手動で設定する必要があります。Outlookの異なるバージョンは現代化認証を有効にする際に異なる要求を持っています:
- Outlook 2010またはそれ以前: 現代化認証はサポートされておらず、この機能を利用するにはOutlookをアップグレードする必要があります。
- Outlook 2013: 現代化認証は利用可能ですが、デフォルトでは有効化されておらず、有効にした後はOutlookを強制的に使用させる必要があります。
- Outlook 2016以降 + Outlook 365: 現代化認証は利用可能で、デフォルトで有効化されています。
下記の表は各バージョンの要求をまとめたものです:
| Outlookバージョン | 現代化認証 | EnableADAL登録キー | 強制現代化認証 |
| Outlook 2010 | サポートされていません | 利用不可 | 利用不可 |
| Outlook 2013 | サポートされています | 必須 | 必須 |
| Outlook 2016 | サポートされています | 必須ではありません | 必須ではありません |
| Outlook 2019 | サポートされています | 必須ではありません | 必須ではありません |
| Outlook 365 | サポートされています | 必須ではありません | 必須ではありません |
Outlook 2013の現代化認証
前述した通り、Outlook 2013は現代化認証をサポートしていますが、デフォルトでは基本認証を使用します。手動で現代化認証を有効にすることができます。
Windowsレジストリに以下のキーを追加する必要があります。
| レジストリキー | タイプ | 値 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
これらのキーを設定した後、MicrosoftはOutlook 2013が基本認証に戻らないように、現代化認証を強制的に使用するためにもう一つのレジストリキーを追加することを推奨しています。使用するキーは以下の通りです。
| レジストリキー | タイプ | 値 |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Outlook 2016以降の現代化認証
Outlook 2016ではデフォルトで現代化認証が有効になっていますが、以下のレジストリキーを使用して強制的に現代化認証を行うことを推奨します。
| レジストリキー | タイプ | 値 |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Skype for Businessの現代化認証
2017年8月1日以前に作成されたすべてのMicrosoftテナントにはデフォルトで現代化認証が無効になっていますので、手動で有効にする必要があります。Outlookと同様に、Skype for Businessで現代化認証を有効にするために以下のレジストリキーを使用できます。
| レジストリキー | タイプ | 値 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
結論
マイクロソフトは、シンプルな資格情報セットでは必要なセキュリティ保護を保証できなくなったため、O365のレガシー認証を段階的に廃止しています。幸いなことに、他のセキュリティ対策が利用可能であり、Office 365でのモダン認証の有効化が推奨されています。有効にすると、マルチファクタ認証(MFA)をアクティブ化したり、アプリケーションのアクセスを制限したりできます。
ただし、サードパーティの包括的なバックアップソリューションを使用すると、Office 365環境の最適な保護が確保されます。NAKIVO Backup & Replicationのような完全なデータ保護ソリューションには、組織内のMicrosoft 365データを保護するために必要なすべてのツールが含まれています。
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/