9. 2 このドキュメントの特徴
このドキュメントは個人の非管理下のデバイスから企業データにアクセスするための要件を満たすものとし
て認識されている、次の 3 つの主要な展開シナリオを対象としています。
• Android または iOS デバイスでの Office 365 アプリの利用。
• PC または Mac での Office 365 Web アプリケーションの利用。
• PC または Mac から Azure Virtual Desktop を使用した Office 365 デスクトップクライアントアプリ
ケーションへのアクセス。
以下のセッションでは、それぞれの展開シナリオがどのように能力を発揮するのかより詳細に説明します。
2.1 要求事項
このドキュメントが開発された要求の事項の一覧を以下に示します。
1. 個人のモバイルデバイスでは承認されたアプリケーションのみを許可する。
2. 個人所有の PC および Mac では、Web アプリケーションのみを許可する。
3. Office 365 サービスにアクセスするために MFA を必要とする。
4. ファイルや添付ファイルの管理。
(a)データファイルが承認されたアプリから出ないようにする(共有アイコン - ファイルの共有経由)
。
(b)他のアプリから承認済みアプリにデータが送信されないようにする。
(c)承認済みアプリから非承認済みアプリへのデータのコピー&ペーストを防止する。
5. Jailbroken / Root 化されたデバイスからのアクセスをブロックする。
6. 一定バージョン以降の OS を搭載した端末のみ許可する。
7. 携帯電話の紛失や暗証番号の入力ミス(何回まで)があった場合、企業データを消去する。
5
10. 重要
このドキュメントでは、デバイスが管理対象デバイスとして Intune に登録されている場合に利用でき
るコントロールについては意図的にカバーしていません。個人用の非管理対象デバイスで利用できるコ
ントロールに焦点を当てています。
2.2 展開のシナリオ
2.2.1 Android または iOS デバイスで Office 365 アプリを利用する
この機能により、ユーザーは個人の非管理下のモバイルデバイスで Office 365 モバイルアプリケーション*1
にアクセスできるようになります。
Good な展開シナリオでは、Microsoft Azure Active Directory の要素認証(MFA)と条件付きアクセス、
ポリシーおよび Microsoft Intune でアプリケーション保護ポリシーを組み合わせて活用していきます。
その結果、エンドユーザーは次のことができるようになります。
• 個人のモバイルデバイスで Outlook を使用して Exchange Online メールにアクセスできます。
• 個人のモバイルデバイスで Skype for Business または Teams にアクセスできます。
• 個人のモバイルデバイスで OneDrive for Business にアクセスできます。
• 個人のモバイルデバイスでの SharePoint Online へのアクセスできます。
• Word、Excel、PowerPoint(および必要に応じてその他の Office 365 認定クライアントアプリケーショ
ン)の使用できます。これらのアプリケーションの詳細については「承認済みクライアント アプリを
必須にする」 を参照してください。
すべてのアクセスは、マイクロソフトが Apple AppStore または Google Play Store のいずれかに公開した
承認済みアプリケーションからのみとなります。 導入シナリオでは、企業データを保護するために、アプリ
ケーションにポリシーが適用されます。 デバイスは組織によって管理されず、承認されたアプリケーション
*1 Apple iOS または Android オペレーティングシステムを搭載したスマートフォンおよびタブレット端末
6
11. のみが組織によって管理されます。
重要
組織は、Apple AppStore または Google Play ストアから Office Mobile Apps をモバイルデバイスに
インストールする際のガイダンスを従業員に提供する必要があります。
デバイスの紛失や盗難、従業員の退職時にデータを保護するために、Intune の選択的ワイプ機能により、組
織のアプリデータとアプリを削除することができます。 詳細は、
「Intune で管理されているアプリから会社
のデータをワイプする方法」を参照してください。
Better の展開シナリオでは、
Azure AD Identity Protection を使用します。Azure AD Identity Protection
は、条件付きアクセスポリシーの条件として追加され、ユーザー ID が安全でない方法で使用されないよう
に保護することを支援します。 リスクレベルが「中」または「高」と判定された場合、Azure AD Identity
Protection は、ユーザーにパスワードの変更を要求したり、多要素認証を強制するなど、定義されたアクショ
ンが完了するまでサービスへのアクセスをブロックします。
Azure AD Identity Protection の詳細については「Identity Protection とは」をご参照ください。
2.2.2 PC または Mac で Office 365 Web アプリケーションの利用する
この機能によりユーザーは個人の PC や Mac 端末から Web ブラウザーで Office 365 アプリケーションに
アクセスすることができるようになります。
Good な展開シナリオの場合、この機能は Microsoft Azure Active Directory、多要素認証(MFA)と条
件付きアクセスポリシー、および Office 365 アプリケーション構成ポリシーを組み合わせて活用し、ファイル
や添付ファイルのダウンロードを防止することが可能になります。
その結果、エンドユーザーは次のことができるようになります。
• 個人の PC または Mac デバイスで Web ブラウザを使用して Outlook Web Access を使用し、
Exchange Online の電子メールにアクセスすることができます。
• 個人の PC または Mac デバイスのウェブブラウザを使用して、Skype for Business または Teams ウェ
7
12. ブアプリケーションにアクセスできます。
• 個人の PC または Mac デバイスのウェブブラウザを使用して、OneDrive for Business にアクセスで
きます。
• 個人の PC または Mac デバイスで Web ブラウザを使用して SharePoint Online にアクセスすること。
• Word、Excel、PowerPoint の Web アプリケーションの使用できます。その他の Office 365 の Web ア
プリケーションの使用も可能です。
Better な展開シナリオでは、さらに 2 つの機能が利用されます。
• Microsoft Cloud App Security
• Azure AD Identity Protection
Microsoft Cloud App Security サービスは、ユーザーのセッションでコピー/ペースト、ダウンロード、
アップロードなどの特定のセッション制御を実施し、業務データが個人のデバイスにダウンロードされるの
を防止します。 エンドユーザーのデバイスは、組織では管理されません。 この導入シナリオでは、インター
ネットブラウザのみにアクセスを制限し、古いオペレーティングシステムとブラウザを検出して拒否すること
もできます*2
。
Azure AD Identity Protection は、条件付きアクセスポリシーの条件として追加され、ユーザー ID が安
全でない方法で使用されないように保護することを支援します。 リスクレベルが「中」または「高」の場合、
Azure AD Identity Protection は、ユーザーにパスワードの変更を要求したり、多要素認証を強制するなど、
定義されたアクションが完了するまで、サービスへのアクセスをブロックします。
Azure AD Identity Protection の詳細な情報については「Identity Protection とは」をご参照ください。
2.2.3 仮想ディスクトップを使用して Office 365 デスクトップアプリを利用する
この展開シナリオでは、Azure Virtual Desktop(AVD)インスタンスでホストされている Office 365 アプ
リケーションに、個人の PC や Mac デバイスから Web ブラウザまたはクライアントアプリケーションを使
用してアクセスすることができます。
*2 Microsoft Intelligence は、対応 OS およびブラウザのリストをまだ公表されていません。
8
13. 仮想デスクトップ(VDI)は、従業員がリモートで作業しているときに会社のデータに安全にアクセスでき
るため、組織のセキュリティも向上します。 また、いつでも、どこからでも、エンドユーザーデバイスと同じ
ようにデータやアプリケーションにアクセスできるため、従業員の生産性も向上します。
1. マルチセッションのコスト削減を実現するための Windows Server Desktop を導入する。
2. Windows 10 でシングルセッションで導入する。
Azure Virtual Desktop(AVD)は、Windows 10 のマルチセッションを利用することで、特に以下の点に
最適化されています。Office 365 Apps for Enterprise に最適化され、プールされたマルチセッションまたは
パーソナル(永続)デスクトップ、あるいは個別の公開リモートアプリケーションのいずれかをサポートし、
仮想デスクトップ管理を簡素化できます。
Azure Virtual Desktop(AVD)を使用すると、従業員が物理的なハードウェアや場所に縛られることな
く、安全なリモートワーク機能を提供することができます。 従業員がプールされたマルチセッション仮想デ
スクトップへのアクセスを要求するか、個人用デスクトップのプロビジョニングを要求すると、プロファイル
と特定のユースケースに基づいて迅速に配信および管理されます。 プールされた個々のアプリケーションへ
のアクセスは、デスクトップ全体ではなく、ユーザが必要とするアプリケーションへのアクセスのみを提供す
るシンプルなメカニズムを提供します。
Azure Virtual Desktop(AVD)は、ID プロバイダーとして Azure Active Directory(Azure AD)を活
用し、Azure Virtual Desktop(AVD)サービスにアクセスする際に多要素認証(MFA)を必要とする条件付
きアクセスなどの追加のセキュリティ制御を可能にします。また、デスクトップデバイスから Office 365 サー
ビスにアクセスする際に、Azure Virtual Desktop(AVD)が Hybrid Azure AD に参加していることを確認
するための条件付きアクセスなどのセキュリティコントロールが可能になります。
その結果、エンドユーザーは次のことができるようになります。
• PC または Mac デバイスの Web ブラウザで HTML5 アプリケーションを使用して Azure Virtual
Desktop(AVD)インスタンスにアクセスします。
• PC または Mac デバイスで AVD Remote Desktop クライアントアプリケーションを使用して Azure
Virtual Desktop (AVD)インスタンスにアクセスします。
9
14. • Azure Virtual Desktop(AVD)インスタンスから Outlook デスクトップアプリケーションまたは
Outlook Web Access を使用して Exchange Online のメールにアクセスします。
• Azure Virtual Desktop(AVD)インスタンスからデスクトップクライアントまたは Web アプリケー
ションを使用して Skype for Business または Teams にアクセスします。
• Azure Virtual Desktop(AVD)インスタンスからデスクトップクライアントまたは Web アプリケー
ションを使用して OneDrive for Business にアクセスします。
• Azure Virtual Desktop(AVD)インスタンスから Web ブラウザを使用して SharePoint Online にア
クセスします。
• Edge ブラウザを使用して、組織の送信プロキシや Web コンテンツフィルタリングシステムを使用し
ながら、インターネットを閲覧することができます。
• Azure Virtual Desktop(AVD)インスタンスで、Word、Excel、PowerPoint のデスクトップアプリ
ケーションまたは Web アプリケーションを使用します。
この展開シナリオでは、個人の非管理下のデバイスは仮想デスクトップのプレゼンテーション・インター
フェースに接続するためにのみ使用され、ドキュメントへのアクセスや Web ブラウジングは、組織の現在の
ポリシーに沿ったグループ・ポリシーが適用された管理下のデバイスから実行されるため、最もリスクの低い
アプローチとなります。
10
15. 3 本ドキュメントのコンポーネント
本ドキュメントを構成するコンポーネントを図 3 に示します。
図 3: BYOD Blueprint のコンポーネント図
3.1 Azure Active Directory
本ドキュメントでは、Azure AD の以下のコンポーネントが使用されます。
3.1.1 多要素認証
多要素認証は 3 つのプロファイルすべてで使用されています。 多要素認証(MFA)とは、サインイン時に、
携帯電話のコード入力や指紋スキャンなど、追加の本人確認が求められるプロセスです。 MFA のブループリ
ント設計は、Azure AD で行われる一連の設定と、条件付きアクセスポリシー駆動の導入アプローチで構成
されます。つまり、Azure AD の条件付きアクセスでは、アプリケーションへのアクセスが許可される前に
MFA が要求されます。 ユーザーは、まだ MFA に登録されていない場合、認証エクスペリエンス内でインラ
イン登録を強制されます。インライン登録は、強制的に登録し、サービスを広く展開する最も簡単で最も効率
11
19. から電子メールにアクセスしたい場合。また、MacOS 用の Outlook クライアントや Mac のネイティブメー
ルクライアントではなく、Outlook Web Access のみを使用することができます。
条件付きアクセスポリシーを使用することで、必要なときに適切なアクセス制御を適用して組織の安全を確
保し、必要ないときにはユーザーの邪魔をしないようにすることができます。
図 4: 条件付きアクセスの構成要素と流れ
重要
条件付きアクセスポリシーは、一要素認証が完了した後に適用される。 条件付きアクセスは、サービス
妨害(DoS)攻撃などのシナリオに対する組織の最初の防御線として意図されているわけではないが、
これらのイベントからの信号を使用してアクセスを決定することができる。
3.2 Microsoft Intune
本ドキュメントでは、Microsoft Intune の以下のコンポーネントが使用されます。
3.2.1 アプリケーションの保護ポリシー
アプリケーションの保護ポリシーは、Good と Better の展開シナリオのモバイルデバイスプロファイルで
使用されます。 このドキュメントでは、選択したクラウドアプリ(例:Exchange Online)へのアクセスは、
15
20. 承認されたクライアントアプリ(例:Outlook for iOS または Android)から試みる必要があります。 これら
の承認済みクライアントアプリは、モバイルデバイス管理(MDM)ソリューションとは無関係に Intune ア
プリ保護ポリシーをサポートします。
この付与制御を利用するためには、
条件付きアクセスでは、
デバイスを Azure Active Directory に登録され
ている必要があり、ブローカーアプリを使用する必要があります。 ブローカーアプリは、iOS 用の Microsoft
Authenticator、または Android デバイス用の Microsoft Company ポータルのいずれかを使用します。 ユー
ザーが認証しようとしたときにブローカーアプリがデバイスにインストールされていない場合、ユーザーはブ
ローカーアプリをインストールするためにアプリストアにリダイレクトされます。
この設定は、次の iOS アプリと Android アプリに適用されます。
Microsoft Azure Information Protection Microsoft Bookings
Microsoft Cortana Microsoft Cortana
Microsoft Edge Microsoft Excel
Microsoft Flow Microsoft Edge browser
Microsoft Edge browser Microsoft Invoicing
Microsoft Kaizala Microsoft Launcher
Microsoft Office Microsoft OneDrive
Microsoft OneDrive Microsoft Outlook
Microsoft Planner Microsoft PowerApps
Microsoft Power BI Microsoft PowerPoint
Microsoft SharePoint Microsoft Skype for Business
Microsoft StaffHub Microsoft StaffHub
Microsoft StaffHub Microsoft To-Do
Microsoft Visio Microsoft Word
Microsoft Whiteboard Microsoft Yammer
16
21. 3.2.2 デバイス登録の制限について
デバイス登録の制限は 3 つのモバイルデバイスの展開パターンすべてで使用されます。 デバイス登録制限
は Intune で管理するために登録できるデバイスを定義する登録制限を作成および管理します。
作成できる具体的な登録制限には、以下のものがあります。
• 登録可能なデバイスの最大数。
• 登録可能なデバイスプラットフォーム
– Android デバイス管理者
– Android Enterprise ワークプロファイル
– iOS/iPadOS
– macOS
– Windows
– Windows Mobile
• iOS/iPadOS、Android デバイス管理者、Android エンタープライズワークプロファイル、Windows、
Windows Mobile のプラットフォーム OS バージョン。(Windows10 バージョンのみ使用可能です。
Windows 8.1 が許可されている場合は空欄にしてください)。
– 最小バージョン
– 最大バージョン
• 個人所有のデバイスを制限する(iOS、Android デバイス管理者、Android Enterprise ワークプロファ
イル、macOS、Windows、および Windows Mobile のみ)
。
このドキュメントでは、デバイス制限ポリシーの例が含まれており、組織のニーズに合わせて適応させる必
要があります。
3.3 Microsoft Cloud App Security
Microsoft Cloud App Security (MCAS) は、Security and Compliance Pack (SCP) および M365 E5 の
一部であるため、Better Scenario で使用されます。
17
36. 4.2 Good な構成設計
Good な構成設計では、Microsoft 365(M365)E3 ライセンスで利用可能なコンポーネントのみを使用し
ています。
Good な構成設計では以下のコンポーネントを使用します。
• Azure AD の多様層認証
• Azure AD の条件付きアクセス
• Intune の条件付きアクセス
• Intune のアプリ保護ポリシー
• 端末の登録制限ポリシー
4.2.1 Good な構成設計の定義
Good な構成設計には、レガシー認証のブロックと未承認アプリのブロックの共通ユーザーケースも含まれ
ます。ユースケースと構成ポリシーの詳細については、上記の「§4.1 共通の構成」を参照してください。
表 9 は、アプリケーション/ワークロードごとに分類された各ユースケースの詳細です。 クライアントタイ
プは、2 つの設計に分かれています。
1. PC または Mac のブラウザベース、すなわちデバイス上のウェブブラウザ(例:Microsoft Edge、
Chrome、Safari)
。
2. iOS または Android 上の承認されたクライアントアプリ、すなわちプラットフォーム用に開発された
アプリ(例:Microsoft Outlook for Android and iOS/iPadOS, Microsoft Teams for Android and
iOS/iPadOS, Office Apps for Android, and iOS/iPadOS)
。
32
37. 表 9: Good な構成設計の条件付きアクセスのユースケース
4.2.2 Good な構成設計の設定ポリシー
このセクションでは、Good プロファイルを構成するために必要なコンフィギュレーションタスクと設定に
ついて説明します。
4.2.2.1 Exchange Online
Good な構成で望ましい動作をサポートするには、Exchange Online でいくつかの設定作業を行う必要があ
ります。詳細は「Conditional Access in Outlook on the web for Exchange Online」をご参照ください。
Outlook Web App は、デバイスが準拠していない場合に、ユーザーが電子メールからローカルマシンに
33
43. PC または Mac デバイス
表 12 は、PC と Mac デバイスが MFA と承認済みアプリを使用して Office 365 アプリケーションと Bing
に接続できるようにする条件付きアクセス ポリシーについて説明したものです。
表 12: BYOD-Good-PC と Mac 上で承認されたアプリを使用して Office 365 と Bing で多要素認証を要求す
るための定義
39
44. 4.2.2.4 アプリケーション保護ポリシー(MAM-WE)
iOS と iPadOS
表 13 は iOS と iPad OS デバイスのアプリケーション保護ポリシーを説明したものです。
表 13: iOS のアプリケーション保護ポリシー
ポリシー設定 値
Name Contoso Apple AppProtectionPolicy
Description
Apps
Target Apps on all device types Yes
Public Apps Microsoft Dynamics CRM on iPad
Microsoft Dynamics CRM on iPhone
Skype for Business
PowerApps
Edge
Excel
Outlook
PowerPoint
Word
Office Hub
OneNote
Microsoft Planner
Microsoft Power BI
Microsoft Flow
Microsoft SharePoint
OneDrive
40
45. ポリシー設定 値
Public Apps Microsoft Teams
Microsoft Stream
Microsoft To-Do
Microsoft Vision Viewer
Yammer
Custom Apps
Data Protection
Prevent Backups Block
Send org data to other apps Policy managed apps with Open-In/Share filtering
Select apps to exempt
Save copies of org data Block
Allow user to save copies to selected services –
Receive data from other apps Policy managed apps
Restrict cut, copy, and paste between other apps Policy managed apps
Cut and copy character limit for any app 0
Third party keyboards SwiftKey Keyboard: com.touchtype.swiftkey
Sync app with native contacts app Block
Printing org data Block
Restrict web content transfer with other apps Microsoft Edge
Unmanaged browser protocol –
Org data notifications Allow
Access Requirements
PIN for access Require
PIN type Numeric
41
46. ポリシー設定 値
Simple PIN Block
Select minimum PIN length 4
Touch ID instead of PIN for access (iOS 8+/iPadOS) Allow
Override biometrics with PIN after timeout Require
Timeout (minutes of inactivity) 30
Face ID instead of PIN for access (iOS 11+/iPadOS) Allow
PIN reset after number of days No
Number of days 0
App PIN when device PIN is set Require
Work or school account credentials for access No required
Recheck the access requirements after (minutes of
inactivity)
10
Conditional Launch
Max PIN attempts 5 - Reset PIN
Conditional Launch
Max PIN attempts 5 – Reset PIN
Offline grace period 720 - Block access (minutes)
Offline grace period 90 – Wipe data (days)
Jailbrokenrooted devices Block access
Min OS Version 13.0
Assignments
Included Groups BYOD-Good-Mobile Device-Users–Enabled
BYOD-Better-Mobile Device-Users–Enabled
BYOD-Best-Mobile Device-Users–Enabled
Excluded Groups
42
47. Android
表 14 は Android デバイスのアプリケーション保護ポリシーを説明したものです。
表 14: Android のアプリケーション保護ポリシー
ポリシー設定 値
Name Contoso-Android-AppProtectionPolicy
Description Android MAM Policy of Office Applications an
BYOD
Platform Android
Apps
Target Apps on all device types Yes
Public Apps Dynamics CRM for Phones
Dynamics CRM for Tablets
Skype for Business
PowerApps
Edge
Excel
Outlook
PowerPoint
Word
Office Hub
Office Hub [HL]
OneNote
Microsoft Planner
Microsoft Power BI
43
48. ポリシー設定 値
Public Apps Microsoft Flow
Microsoft SharePoint
OneDrive
Microsoft Teams
Microsoft Stream
Microsoft To-Do
Yammer
Custom Apps
Data Protection
Prevent Backups Block
Send org data to other apps Policy managed apps
Select apps to exempt –
Save copies of org data Block
Allow user to save copies to selected services –
Receive data from other apps Policy managed apps
Restrict cut, copy, and paste between other apps Policy managed apps
Cut and copy character limit for any app 0
Screen capture and Google Assistan Disable
Approved keyboards Require
44
49. ポリシー設定 値
Select keyboards to approve Gboard - the Google Keyboard:
com.google.android.inputmethod.latin
SwiftKey Keyboard: com.touchtype.swiftkey
Samsung Keyboard: com.sec.android.inputmethod
Google Indic Keyboard:
com.google.android.apps.inputmethod.hind
Samsung voice input:
com.samsung.android.svoiceime
Encrypt org data Require
Encrypt org data on enrolled devices Require
Sync app with native contacts app Block
Printing org dat Block
Restrict web content transfer with other apps Microsoft Edge
Unmanaged Browser ID –
Unmanaged Browser Name –
Org data notifications Allow
Access Requirements
PIN for access Require
PIN type Numeric
Simple PIN Block
Select minimum PIN length 4
Fingerprint instead of PIN for access (Android 6.0+) Allow
Override fingerprint with PIN after timeout Require
Timeout (minutes of inactivity) 30
PIN reset after number of days No
45
50. ポリシー設定 値
Number of days 0
Select number of previous PIN values to maintain 0
App PIN when device PIN is set Require
Work or school account credentials for access No required
Recheck the access requirements after (minutes of
inactivity)
10
Conditional Launch
Max PIN attempts 5 – Reset PIN
Offline grace period 720 - Block access (minutes)
Offline grace period 90 – Wipe data (days)
Jailbroken/rooted devices Block access
Min OS Version 8.0
Min OS Version Basic integrity and certified devices
Basic integrity and certified devices
Included Groups BYOD-Good-Mobile Device-Users–Enabled
BYOD-Better-Mobile Device-Users–Enabled
BYOD-Best-Mobile Device-Users–Enabled
Excluded Groups
46
53. び中リスクのサインインイベントをブロックする。 この条件付きアクセスポリシーは、モバイルデバイスの
ユーザーにも適用され、リスクベースのアイデンティティ保護を提供します。
表 16 は、アプリケーション/ワークロードごとに分別された各ユースケースの詳細です。 クライアントタ
イプは、2 つのシナリオに分かれています。
1. iOS または Android 上の承認されたクライアントアプリ、すなわちプラットフォーム用に開発された
アプリ(例:Microsoft Outlook for Android and iOS/iPadOS, Microsoft Teams for Android and
iOS/iPadOS, Office Apps for Android, and iOS/iPadOS)。
2. PC または Mac でのブラウザベース、すなわちデバイス上の Web ブラウザ (例:Microsoft Edge、
Chrome、Safari から Office 365、Bing for Business へアクセス)。
3. アイデンティティ保護でサインインリスクが「中」または「高」の場合、PC または Mac の Web ブラウ
ザ、またはモバイルデバイスの承認済みクライアントアプリから Office 365 および Bing for Business
へのアクセスをブロックします。
49
56. PC または Mac デバイス - ブラウザのみ(セッションコントロール付き)
表 18 は、PC および Mac デバイスが Web ブラウザーを使用して MFA および MCAS セッションコント
ロールを使用して Office 365 アプリケーションおよび Bing に接続することを許可する条件付きアクセスポリ
シーについて説明しています。
表 18: BYOD-Better-PC または Mac でセッションコントロール付きのブラウザのみを使用して、Office 365
の MFA を要求する
52
57. 4.3.2.2 Microsoft Cloud App Security (MCAS)
Microsoft Cloud App Security (MCAS) によるコピー&ペースト防止のためのセッション制御
表 19 はコピー/ペーストを防ぐための Microsoft Cloud App Security (MCAS) のセッション制御ポリシー
を説明しています。
表 19: Microsoft Cloud App Security (MCAS) による コピー&ペーストを防ぐためのセッション制御ポリ
シー
ポリシー設定 値
Policy Template Block cut/copy and paste based on real time content inspection
Policy Name CONTOSO-Block-CopyPaste
Description Block Copy/Cut and Paste functionality
Policy Severity Low
Category DLP
Session Control Type Block Activities
Activity Filters Activity type equals (Cut/Copy Item OR Paste Item)
Content Inspection False
False Block
Also notify user by email False
Customize block message ‘Copy and Paste functionality has been disabled when accessing from personal
devices’
Create an alert matching event
with the policy’s severity
False
53
58. Microsoft Cloud App Security (MCAS) によるプリンターセッションの制御
表 20 は、印刷を防止するための Microsoft Cloud App Security(MCAS)の セッション制御ポリシーに
ついてを説明しています。
表 20: Microsoft Cloud App Security (MCAS) によるプリンターセッション制御ポリシー
ポリシー設定 値
Policy Template Block Print functionality
Policy Name Contoso-Block-Print
Description Block Print functionality
Policy Severity Low
Category DLP
Session Control Type Block Activities
Activity Filters Activity type equals (Print)
Content Inspection False
Actions Block
Also notify user by email False
Customize block message ‘Printing has been disabled when accessing from personal devices’
Create an alert matching event
with the policy’s severity
False
54
59. Microsoft Cloud App Security (MCAS) によるダウンロードセッションの制御
表 21 はファイルダウンロードを防ぐための Microsoft Cloud App Security (MCAS) のセッション制御ポ
リシーについて説明しています。
表 21: Microsoft Cloud App Security によるファイルダウンロードセッション制御ポリシー
ポリシー設定 値
Policy Template Block download based on real-time content inspection
Policy Name CONTOSO-Block-FileDownload
Description Block File Download functionality
Policy Severity Low
Category DLP
Session Control Type Control file download (with DLP)
Activity Filters None
Inspection Method None
Actions Block
Also notify user by email False
Customize block message ‘File Download functionality has been disabled when accessing from personal
devices’
Create an alert matching event
with the policy’s severity
False
55
60. Microsoft Cloud App Security (MCAS) によるファイルアップロードセッションの制御
表 22 は、ファイルアップロードを防ぐための Microsoft Cloud App Security (MCAS) のセッション制御
のポリシーについて説明しています。
表 22: Microsoft Cloud App Security (MCAS) によるファイルアップロードセッション制御ポリシー
ポリシー設定 値
Policy Template Block upload based on real-time content inspection
Policy Name Contoso-Block-File-Upload
Description Block File Upload functionality
Policy Severity Low
Category DLP
Session Control Type Control file upload (with DLP)
Activity Filters None
Inspection Method None
Actions Block
Also notify user by email False
Customize block message ‘File upload functionality has been disabled when accessing from personal
devices’
Create an alert matching event
with the policy’s severity
False
56
61. Microsoft Cloud App Security による非モバイルデバイス、非ブラウザのアクセス制御
表 23 は非モバイルデバイス、非ブラウザによるアクセスを防ぐための Microsoft Cloud App Security
(MACS) のセッション制御のポリシーについて説明しています。
表 23: Microsoft Cloud App Security (MCAS) による非モバイル、非ブラウザのアクセス制御ポリシー
ポリシー設定 値
Policy Name Contoso-Block-Access-NonMobile-NotBrowser
Description Block access to Office 365 if the client application is not a Browser and
the device is not a Mobile or Tablet
Policy Severity Medium
Category Access Contol
Activity Filters Device Type Does Not Equal Mobile OR Tablet
Device Type Does Not Equal Mobile OR Tablet
App Equals Office 365
Actions Block
Also notify user by email False
Customize block message ‘Access from this application is not supported when using a personal
device’
Create an alert matching event
with the policy’s severity
True
Send alert as email TBA
57
62. Microsoft Cloud App Security (MCAS) による古い OS のアクセス制御
表 24 は古い OS によるアクセスを防ぐための Microsoft Cloud App Security のセッション制御ポリシー
について説明しています。
表 24: Microsoft Cloud App Security (MCAS)による古い OS のアクセス制御ポリシー
ポリシー設定 値
Policy Name Contoso-Block-Outdated-OS
Description Block Access for Outdated Operating Systems
Policy Severity Low
Category Access Control
Activity Filters User Agent Tag Equals Outdated Operating System
Actions Block
Also notify user by email False
Customize block message ‘Access to CONTOSO systems is prohibited from your operating system
version’
Create an alert matching event
with the policy’s severity
False
58
63. Microsoft Cloud App Security による古いブラウザのアクセス制御
表 25 は古いブラウザによるアクセスを防ぐための Microsoft Cloud App Security のセッション制御ポリ
シーについて説明しています。
表 25: Microsoft Cloud App Secuirty (MCAS) による古いブラウザのアクセス制御ポリシー
ポリシー設定 値
Policy Name Contoso-Block-Outdated-Browser
Description Block Access for Outdated Browsers
Policy Severity Low
Category Access Control
Activity Filters User Agent Tag Equals Outdated Browser
App Equals Office 365
Actions Block
Also notify user by email False
Customize block message ‘Access to CONTOSO systems is prohibited from your Internet Browser
version’
Create an alert matching event
with the policy’s severity
False
59
64. Azure AD Identity Protectin のサインインリスクのポリシー
表 26 はサインインリスクのためのアイデンティティ保護ポリシーを説明しています。
表 26: アイデンティティの保護-ユーザーリスクのポリシー
Assignments Users Include BYOD-Better-Mobile
Device-Users–Enabled
BYOD-Better-PC-Users–Enabled
YOD-Best-Mobile Device-Users–Enabled
BYOD-Best-PC-Users–Enabled
Exclude
Conditions Sign-in Risk Medium and above
Allow access Require multi-factor authentication
Azure AD Identity Protection の多要素認証登録ポリシー
表 27 は多要素認証の登録ポリシーのためのアイデンティティ保護ポリシーを説明しています。
4.4 Best な構成設計
Best な構成設計は、M365 Security and Compliance Pack または M365 E5 ライセンスで利用可能なコン
ポーネントを使用します。
Best な構成設計では、以下のコンポーネントを使用します。
• Azure AD の多要素認証
• Azure AD の条件付きアクセスの設定
• Intune のアプリケーション保護ポリシー
• Intune のアプリケーション設定ポリシー
• Intune のデバイス登録制限ポリシー
• Microsoft Cloud App Security のセッション制御ポリシー (もし Web アプリを使っている場合)
• Microsoft Cloud App Security のアクセスポリシー (もし Web アプリを使っている場合)
• Azure AD Identity Protection ポリシー
60
68. 4 つのシナリオに分かれています。
1. iOS または Android 上の承認されたクライアントアプリ、すなわちプラットフォーム用に開発された
アプリ(例:Microsoft Outlook for Android and iOS/iPadOS, Microsoft Teams for Android and
iOS/iPadOS, Office Apps for Android, and iOS/iPadOS)。
2. PC または Mac でのブラウザベース、すなわちデバイス上の Web ブラウザ(例:Microsoft Edge、
Chrome、Safari から Windows Virtual Desktop HTML5 Web クライアントまで)
。
3. Azure Virtual Desktop クライアントなど、PC または Mac 上で承認されたクライアントアプリ。
4. Hybrid Azure に加入した Azure Virtual Desktop デバイスから、Microsoft Outlook for PC または
Mac、Microsoft Teams for PC または Mac、Office Apps for PC または Mac にアクセスできます。
4.4.2 Best な構成ポリシー
4.4.2.1 条件付きアクセス
次の表は Best な構成で、hyperlinksec:Best なシナリオの定義 §4.4.1 のユースケースで説明した望ましい
結果を達成するために必要な条件付きアクセスポリシーの詳細を示しています。
すべてのプラットホーム-「高」または「中」程度のサインインリスクをブロックする
表 30 はユーザーのサインイン リスクが高または中である場合に、PC または Mac およびモバイル デバイ
ス (iOS, iPadOS および Android) からの Office 365 アプリケーションおよび Bing へのアクセスをブロッ
クする条件付きアクセスポリシーを説明したものです。
重要
Azure Virtual Desktkop および Azure Virtual Desktop クライアントアプリが、ポリシーで定義され
ている付属のクラウドアプリに追加されました。
PC または Mac デバイス
表 31 は PC および Mac デバイスが Azure Virtual Desktop ク ライアントまたは HTML5 Web ブラウ
64