第18回 Office365 勉強会で使った資料です。#o365jp

1. Office365のID基盤活用と
セキュリティ上の注意点
Microsoft MVP for Enterprise Mobility
Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp
1

2. 自己紹介
• Blog
• IdM実験室：http://idmlab.eidentity.jp
• IdM Laboratory（English）：https://idmlab-e.eidentity.jp
• Modules（codeplex）
• Generic REST MA for FIM/MIM：https://restmafim.codeplex.com/
• 記事 / 書籍
• 記事 : @IT/企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用 他
• 監訳 : クラウド時代の認証基盤 Azure Active Directory 完全解説
• 共著 : クラウド環境におけるアイデンティティ管理ガイドライン
• その他
• JNSA アイデンティティ管理WG
• OpenID Foundation Japan 教育・翻訳WG、エンタープライズ・アイデンティティWG
• Microsoft MVP for Enterprise Mobility（Jan 2010 -）
2

3. ID関係はAzure AD
に依存している
おさらい）Office365 と Azure AD
3
GET https://portal.office.com/ HTTP/1.1
HTTP/?.? 302 Found
Location:
https://login.microsoftonline.com:443/login.srf?wa=wsignin1.0&rpsnv=4&ct=1489112357&rver=6.7.6640.0&wp=MCMBI&wreply=https%3a%2f%2fportal.office.com%2flanding.aspx%3ftarg
et%3d%252fdefault.aspx&lc=1041&id=501392&msafed=0&client-request-id=a550ecbe-3fcb-4e1e-8ac6-66b3f341ebdb
GET
https://login.microsoftonline.com/login.srf?wa=wsignin1.0&rpsnv=4&ct=1489112357&rver=6.7.6640.0&wp=MCMBI&wreply=https%3a%2f%2fportal.office.com%2flanding.aspx%3ftarget%3
d%252fdefault.aspx&lc=1041&id=501392&msafed=0&client-request-id=a550ecbe-3fcb-4e1e-8ac6-66b3f341ebdb HTTP/1.1
POST https://login.microsoftonline.com/common/login HTTP/1.1
- ID / Pwd のPOST
- JS含みのHTML Formをダウンロード、自動POST
POST https://portal.office.com/landing.aspx?target=%2fdefault.aspx&wa=wsignin1.0 HTTP/1.1
ユーザ
Office365
Azure AD
①
②
③
④ 要するにws-federation
のRPの一つ
故にAzure ADを正しく運用しないと
色々と問題も・・・

4. Agenda
1. 恐るべし！外部共有とAzure AD B2B
2. 全然あがらない？Office365 Secure Score
3. 情シスが喜ぶ？テナント制限
4

5. １．恐るべし！外部共有とAzure AD B2B
• 概要
• SharePoint Online等の外部ユーザを招待する機能を使うと、
Azure AD上にユーザが作られ、色々と見えてはいけないものが
見えてしまう事故が発生する（した）件
5

6. 外部ユーザの招待の実体
• Office365：外部ユーザの招待
• Azure AD：ゲストユーザが作成される
6

7. ゲストユーザの権限
• All Users権限で
アクセスパネルの利用
• ディレクトリ構成情報
へのアクセス（現在、初期
値はOFF）
7All Usersを有効にするか
どうかの設定

8. All Users権限でアクセスパネルの利用
• 招待された
ディレクトリ
へのアクセス
が可能
8

9. All Users権限でアクセスパネルの利用
• 招待された
ディレクトリ
上でAll Usersへ
割り当てられた
アプリの利用が可能
9

10. ディレクトリ構成情報へのアクセス
• Azure PortalからActive Directoryの構成（ドメイン一覧な
ど）が参照可能
10
現在は初期値としてアクセス
制限がかかるように改修された

11. 余談
• 一般ユーザもディレクトリ構成情報へアクセスが可能
• 不要なら設定変更をしておくべき
11
こちらの初期値はNoなので変
更しなければアクセス可能

12. 対応①）All Membersグループの作成と利用
• All Membersグループを作成し、All Usersの代わりに利用する
12

13. 対応②）しっかり認可する
• 条件付きアクセスを有効にする
13

14. 対応③）しっかり認可する
• 認証されただけでは使えない様にアプリケーション側で権限管
理を行う
• 例）idpが自ディレクトリ
以外なら処理を変える
14

15. 対応④）ポータルアクセスをブロックする
• ディレクトリ構成情報へのアクセスをブロックするだけだと
ポータルへのアクセスは可能
• 条件付きアクセスで
Microsoft Azure Subscription
Managementへのゲスト
ユーザのアクセスをブロック
する
15

16. 参考情報
• Office365管理者は要対応。外部共有により不要なアクセス権
が付与される
• http://idmlab.eidentity.jp/2017/01/office365.html
• [続報]Office365管理者は要対応。外部共有により不要なアク
セス権が付与される
• http://idmlab.eidentity.jp/2017/03/office365.html
16

17. ２．全然あがらない？Office365 Secure Score
• 概要
• 突如リリースされた自社のOffice365テナントのセキュリティ状
態をスコアリングしてくれるサービス。
• https://securescore.office.com
17

18. 割と頑張って上げてみた・・・
18
ちょっと安心してみる

19. スコアアップのポイント
• ID関係
• 多要素認証の有効化
• グローバル管理者を減らす
• 使っていないユーザを
無効化する
• メール関係
• Auditの有効化
• その他
• モバイルデバイス管理など
19

20. ３．情シスが喜ぶ？テナント制限
• 概要
• 自社テナント以外へのアクセスをブロックする
• 社内ネットワークから個人で契約したOffice365/OneDriveへア
クセスして機密情報をアップロードする、などを防ぐ
（URLフィルタなどで対応したくても、Office365のURLが組織で
も個人でも同じなので対応できなかった部分）
20

21. 仕組み（HTTPヘッダの利用）
• 認証する時点でテナントを判別、制限する
• 社内プロキシサーバ等で
Restrict-Access-To-Tenants
ヘッダを付与する
• MITMな段階でちょっと微妙
21

22. ディレクトリ名を設定すると他へアクセス不可
22

23. 参考情報
• [Azure AD/Office365]自社のテナント以外のOffice365やアプ
リケーションへのアクセスを制限する
• http://idmlab.eidentity.jp/2017/02/azure-
adoffice365office365.html
23

24. まとめ
• Office365はID基盤としてAzure ADを利用しており、かなりの部分
Azure ADに依存していることを正しく認識する
• つまり、Office365だけでなく、Azure ADも正しく管理・設定する必
要がある
• 定期的にスコア確認をしてセキュリティレベルの維持をしましょう
24