Lync/Skype for Business クライアントの "テナントの制限" の対応について
こんにちは Japan SKype/Lync サポートチームです。
今回は、Lync/Skype for Business クライアントにおける "テナントの制限" (Tenant Restrictions) への対応についてお知らせいたします。
テナントの制限とは何か?
ざっくりいうと、自社の環境から他社の Office 365 テナントに接続させないための機能となります。
セキュリティの強化のため、この機能を導入したいお客様も多いかと思います。
詳細は、下記技術情報はもちろんのこと、弊社テクニカル セールス チームのBlog でも詳細な情報をご紹介していますのでご参照ください。
Title : テナント制限を使用して SaaS クラウド アプリケーションへのアクセスを管理する
URL : /ja-jp/azure/active-directory/manage-apps/tenant-restrictions
Title : 自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions)
URL : https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/
Skype for Business におけるテナントの制限
まず、Lync 2010/Skype for Business 2015 (Lync 2013)/Skype for Business 2016 クライアントのいずれを使用した場合であっても、現在、テナントの制限は動作します。
これは、上記テナントの制限のドキュメントにおける以下のテナントの制限の条件に必ずしも一致しない場合でもテナントの制限が動作することを意味します。
Office 365 applications must meet two criteria to fully support Tenant Restrictions:
- The client used supports modern authentication
- Modern authentication is enabled as the default authentication protocol for the cloud service.
/en-us/azure/active-directory/manage-apps/tenant-restrictions#office-365-support
そのため、今回はこの点についてもう少し詳しく説明したいと思います。
テナントの制限とレガシー認証
テナントの制限のドキュメントには、次の記載もあります。
Outlook and Skype for Business clients that support modern authentication may still able to use legacy protocols against tenants where modern authentication is not enabled, effectively bypassing Tenant Restrictions. Applications that use legacy protocols may be blocked by Tenant Restrictions if they contact login.microsoftonline.com, login.microsoft.com, or login.windows.net during authentication.
/en-us/azure/active-directory/manage-apps/tenant-restrictions#office-365-support
テナントの制限は、クライアント/テナントの双方で先進認証が有効となっており、認証時に先進認証が使用される場合に動作するように実装されています。そのため、レガシー認証が使用される (= テナントの制限の条件である先進認証が使用されない) ケースでは、テナントの制限をバイパスしてしまいます。
しかし、その一方で、レガシー認証が使用されるケースにおいても、認証時に login.microsoftonline.com/login.microsoft.com/login.windows.net during authentication にアクセスする場合には、テナントの制限が動作する、ということが上記ドキュメントには記載されています。
Lync 2010/Skype for Business 2015 (Lync 2013)/Skype for Business 2016 クライアントのレガシー認証では、現在、認証時に login.microsoftonline.com にアクセスします。そのため、上述の条件に合致し、先進認証でないケースにおいてもテナントの制限が動作します。
つまり、Lync/Skype for Business クライアントでは、バージョンや認証の種類 (先進認証/レガシー認証) に関わらずテナントの制限が動作する、と言えます。
先進認証に対応していない Lync 2010 クライアントや、先進認証に対応しているがレガシー認証が使用される動作を完全に抑止できない Skype for Business 2015/2016クライアントでは、テナントの制限による制御が難しい状況がありました。しかし、現在は、上述の通り、レガシー認証時を含めテナントの制限が動作するので、Skype for Business Online に関するセキュリティ対策としても、ぜひテナントの制限の利用を検討ください。
免責事項:
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。