1. 第1回 OFFICE365 LIGHTNING TALK
Office365のアクセス制御
～ 出来ること、出来ないこと ～
2012.05.18
渡辺 元気
Twitter ID: genkiw
http://genkiw.wordpress.com/

2. OFFICE365のセールスポイント
①どこでも (anywhere)
②いつでも (anytime）
③どんなデバイスからでも (any device)
同じ情報にアクセス出来る
• 自宅やネットカフェからでも
• 業務時間外でも
• 私物の端末やキオスク端末からでも
会社の業務情報にアクセスできてしまう

3. OFFICE365におけるアクセス制御
1.標準
一部（アプリ・プロトコル単位での有効・無効化、
Active Syncの検疫）を除いて無し
2.サードパーティ製品の使用
(Online Service Gate：ソフトバンクBB)
3.オンプレミスとのフェデレーション
(Active Directory Federation Services 2.0)

4. ① OSGでできること
OSG
(Azure)
ログオン情報 ○ ×internet
（事前登録）
社内
①ID/PASS ①ID/PASS
②IP:会社のIP ②IP:自宅のIP
管理者 ③端末ID：xxx ③端末ID：yyy
※要エージェント（OSGスターター＆コネクタ）
IPアドレス制御
端末制御
利用アプリケーション制御（一部）

5. ① OSGでできないこと
動作環境の限定
POP/IMAP接続の端末
Android端末からのActiveSync
Macクライアント
厳密な制約
認証後のキャッシュ
ID/PASSによる直接ログイン
同一アプリグループでのアクセス区分
ブラウザ OWA:OK, SharePoint:NG

6. ② ADFS2.0でできること
AD DS AD FS AD FS
Proxy
赤線：Web,Lync internet
青線：Mail
パソコン（社内） パソコン（社外）
①アカウント、所属グループ ③Exchange：IP・プロトコル・UA
②ADFS Proxy経由かどうか ④Web、Lync：接続URI
IPアドレス制御（基本は社内/社外）
利用アプリケーション制御（一部のみ）
プロトコル,Agent制御（Exchangeのみ）
所属するADグループによる制御

7. ② ADFS2.0でできないこと
端末制御
エージェントは認証に必要としない
Web/Lync＋IPアドレス＋ユーザ情報の組み合わせ
WebはADFSにIP情報が渡されてこない
ADFSから見た場合の同じアクセス方式の場合の区分
ブラウザ ﾎﾟｰﾀﾙ/OWA/SharePoint
ｻｲﾝｲﾝｱｼｽﾀﾝﾄ Lync/PowerShell/DirSync
LyncﾓﾊﾞｲﾙはｴｰｼﾞｪﾝﾄﾚｽだがLyncと同じ
一連のWebサービス内での制御
Autodiscover ⇒ EWSの認証の場合

8. ③ その他
 ADFSを利用するにはEプランの契約が必要
 Exchange（OWA除く）の制御にはSSL-VPNを張るという
方法も。（アクセスの可否はSSL-VPN経由でADFSに直
接アクセスできるかどうかで判定。）
 具体的なアクセス制御（クレームルール）の設定方法
などはblogを御参照下さい。
日々徒然
http://genkiw.wordpress.com