[Skype for Business Online] フェデレーション ユーザーとの P2P ファイル転送を禁止する (ExternalUserCommunicationPolicy のリリース)
Japan Lync/Skype Support チームの和気です。
Skype for Business Online で新しいポリシー "ExternalUserCommunicationPolicy" が利用できるようになりました。
このポリシーでは、これまで要望の多かったフェデレーション ユーザー (外部組織のユーザー) との P2P セッションにおけるファイル転送の制限を実現可能です。
※ なお、こちらはあくまでも、ユーザー同士のファイル転送を禁止するポリシーであり、外部ユーザーが会議参加を行った場合にファイル転送を禁止する設定ではございませんのでご注意ください。
今回は、この新しいポリシー、およびこのポリシーを使ってフェデレーション ユーザーとの P2P ファイル転送を禁止する方法についてご紹介したいと思います。
ExternalUserCommunicationPolicy とは
External User = フェデレーション ユーザーとの通信を制御するポリシーとして、新しく ExternalUserCommunicationPolicy が追加されました。
他のポリシーと同様に New/Get/Set/Grant/Remove-CsExternalUserCommunicationPolicy コマンドレットで、新規作成や変更、ユーザーへの割り当てなどが可能です。
ポリシーには、以下の設定項目が含まれますが、現時点でカスタマイズ可能な項目は "EnableP2PFileTransfer" の 1 項目のみとなっています。また、この "EnableP2PFileTransfer" で、フェデレーション ユーザーとの P2P セッションにおけるファイル転送を制限することが可能となっています。
フェデレーション ユーザーとの P2P ファイル転送を禁止する
情報漏洩を防ぐため外部組織のユーザー (フェデレーション ユーザー) とのファイル転送は禁止したい、といったシナリオはよくあるかと思います。
このシナリオに対し、これまでは会議ポリシー (ConferencingPolicy) で EnableP2PFileTransfer = False を設定し、すべての P2P セッションにおけるファイル転送を禁止する方法しかありませんでした。この場合、組織内のユーザー同士のファイル転送についても禁止されてしまいます。
新しい ExternalUserCommunicationPolicy では、外部組織ユーザーとのファイル転送 "のみ" を禁止することが可能となりました。
この制限を実現するには、具体的には以下の 2 つのポリシー設定を行います。
- 会議ポリシー (ConferencingPolicy) で EnableP2PFileTransfer = True を設定する
- ExternalUserCommunicationPolicy で EnableP2PFileTransfer = False を設定する
前提条件
ExternalUserCommunicationPolicy の EnableP2PFileTransfer による制御は、以下のバージョンの C2R 形式の Skype for Business 2016 デスクトップ クライアントで動作します。
上記条件を満たさない以下のクライアントをユーザーが利用している場合、ExternalUserCommunicationPolicy の EnableP2PFileTransfer の設定は動作せず、会議ポリシーの EnableP2PFileTransfer の設定に従って動作します。つまり、これらのクライアントをユーザーが利用した場合、今回紹介した設定を行っていても、会議ポリシーの EnableP2PFileTransfer = True の設定に従った動作となり、フェデレーション ユーザーに対してファイル転送ができてしまいます。
- Lync 2010 / Lync 2013 / Skype for Business 2015 デスクトップ クライアント (MSI 版/C2R 形式)
- Skype for Business 2016 デスクトップ クライアント (MSI 版)
- 上記バージョンより古いバージョンの Skype for Business 2016 デスクトップ クライアント (C2R 形式)
- Lync for Mac 2011 / Skype for Business on MAC
これを防ぐためには、組織内で利用されているクライアントのバージョンを確認し、適宜バージョンアップを実施いただくようお願いいたします。
動作イメージ
実際の動作を画面と一緒に紹介したいと思います。
- 自組織ユーザー (右側、設定実施済み) から自組織ユーザー (左側) にファイル転送 ・・・転送可能
- 自組織ユーザー (右側、設定実施済み) からフェデレーション ユーザー (左側) にファイル転送 ・・・転送不可
- 自組織ユーザー (右側、設定実施済み) がフェデレーション ユーザー (左側) からファイル転送を受ける ・・・受信可能
設定方法 - 組織全体で P2P ファイル転送を禁止する
個別に ExternalUserCommunicationPolicy の割り当てを行っていないユーザーでは、Global スコープのポリシー設定が有効となります。したがって、組織全体で P2P セッションにおけるファイル転送を禁止する場合は、Global スコープのポリシーを変更します。
コマンドレットは以下の通りとなります。
> Set-CsExternalUserCommunicationPolicy -Identity Global -EnableP2PFileTransfer $false
設定方法 - ユーザー単位で P2P ファイル転送を禁止する
ユーザー毎に P2P セッションにおけるファイル転送を許可/禁止する場合は、P2P セッションにおけるファイル転送を禁止する新しい ExternalUserCommunicationPolicy を作成します。そして、禁止したいユーザーにポリシー割り当てます。
コマンドレットは以下の通りとなります。
/// 新しい ExternalUserCommunicationPolicy を作成 (ポリシー名は "CustomPolicyDisableP2PFT" としてみましたが、任意の名前を使用できます)
> New-CsExternalUserCommunicationPolicy -Identity CustomPolicyDisableP2PFT -EnableP2PFileTransfer $false
/// ユーザー (ここでは user@contoso.com とします) に新しく作成したポリシー "CustomPolicyDisableP2PFT" を割り当て
> Grant-CsExternalUserCommunicationPolicy -Identity user@contoso.com -Policyname CustomPolicyDisableP2PFT
/// 正しくポリシーが割り当てられていることを確認 (この手順は省略可能です)
> Get-CsOnlineUser -Identity user@contoso.com | fl SipAddress,DisplayName,ExternalUserCommunicationPolicy
ファイル転送によるリスクが懸念される、しかし組織内ユーザーとのやり取りでなるべく制限を設けたくない (利便性を良くしたい) という場合には、有効な手段となります。ぜひ、ご要件に応じて、利用を検討いただければと思います。
<参考>
Title : Update on Custom Policies in Skype for Business Online
URL : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Update-on-Custom-Policies-in-Skype-for-Business-Online/ba-p/69850
Title : Block Point-to-Point file transfers in Skype for Business Online
URL : https://support.office.com/en-us/article/9adf9859-de5b-461e-92ea-b6ce4dd2f7c1
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。