ADFSによるサービスごとのアクセス制御について

Question

Office365をADFSでアクセス制御を実施したいと思います。

以下のようなアクセス制御は可能でしょうか？

①ExchnageOnlineは社内でのみ利用：社内でのみ利用、社外からアクセスしようとすると利用不可

②SharepointOnline：社内でのみ利用、社外からアクセスしようとすると利用不可

③SkypeForBusinessはどこからでも利用可能：　キャリアのLTEなどを使用してスマホアプリからも利用可能

Answer 1

ADFSでのアクセス制御ですが、主に以下のような情報を基にした条件の組み合わせでアクセス制御を実現します。

①AD FS Proxyを経由した通信か

②アクセス元のIPアドレス

③（Exchange Onlineの場合）利用しているプロトコルは何か

④クライアントソフトウェアの種別（UserAgent）は何か

結論から申し上げますと、①②を実現することは可能ですが、③が難しいです。

①②を実現するためには「AD FS Proxyを経由していない通信」または「IPアドレスが社内からインターネットに出る際のIPアドレス」の通信を許可することになります。

③を実現しようとした場合、Skype for BusinessはSharePoint Onlineと同じ基盤を利用しておりますので、それを区別して制御をすることができません。例えば、ブラウザやスマートフォンのOne Drive for Businessクライアントにアクセス許可を与えた場合、アクセス先のフォルダを変更してしまえばSharePoint Onlineのチームサイトにもアクセスできてしまいます。

運用でカバーするなら、スマートフォンのOne Drive for Businessクライアントはかなり長い時間ログインした資格情報を保持していますので、社内のWifi環境などから一度認証を取ってから外に持ち出す、とかでしょうかね。（チームサイトにもアクセスできてしまいますが）

Answer 2

genkiw様

ご回答ありがとうございます。お返事が遅くなってすみません。

①②③を同時に実現することは難しいのですね。

③Skypeも一度社内にアクセスしたうえで利用できるよう検討いたします。

アドバイスありがとうございます。

念のためですが、”One Drive for Businessクライアント”ですが、"Skypefor Business"の誤記であっていますでしょうか？