電子メールをセキュリティで保護するためのポリシーの推奨事項
この記事では、先進認証と条件付きアクセスをサポートする組織のメールとメール クライアントを保護するために推奨されるゼロ トラストの ID とデバイス アクセス ポリシーを実装する方法について説明します。 このガイダンスは、一般的な ID とデバイスのアクセス ポリシーに基づいており、追加の推奨事項もいくつか含まれています。
これらの推奨事項は、ニーズの細かさに基づいて適用できる、セキュリティと保護の 3 つの異なるレベル (開始点、エンタープライズ、特殊なセキュリティ) に基づいています。 これらのセキュリティ レベルと推奨されるクライアント オペレーティング システムについて詳しくは、推奨されるセキュリティ ポリシーと構成の概要に関する記事をご覧ください。
これらの推奨事項では、ユーザーがモバイル デバイスで Outlook for iOS や Outlook for Android などの最新のメール クライアントを使っている必要があります。 Outlook for iOS と Android では、Microsoft 365 の最適な機能がサポートされています。 これらのモバイル Outlook アプリの設計には、モバイル使用をサポートし、他の Microsoft クラウド セキュリティ機能と連携するセキュリティ機能も組み込まれています。 詳しくは、Outlook for iOS と Outlook for Android の FAQ に関する記事をご覧ください。
メールを含むように一般的なポリシーを更新する
メールを保護するには、次の図で示すポリシーを、一般的な ID とデバイスのアクセス ポリシーから更新します。
ActiveSync クライアントをブロックするために Exchange Online のための新しいポリシーが追加されていることに注意してください。 このポリシーは、モバイル デバイスで Outlook for iOS と Android を使うことを強制します。
ポリシーを設定するときにそのスコープに Exchange Online と Outlook を含めた場合は、ActiveSync クライアントをブロックする新しいポリシーを作成するだけで済みます。 次の表で示すポリシーを検討し、推奨されている追加を行うか、これらの設定が既に含まれていることを確認してください。 各ポリシーは、一般的な ID とデバイスのアクセス ポリシーに関する記事の関連する構成手順にリンクしています。
防護等級 | ポリシー | 詳細 |
---|---|---|
開始ポイント | ログインリスクが中程度または高レベルの場合はMFAが必要 | クラウド アプリの割り当てに Exchange Online を含めます |
最新の認証をサポートしていないクライアントのブロック | クラウド アプリの割り当てに Exchange Online を含めます | |
APPデータ保護ポリシーの適用 | Outlook がアプリの一覧に含まれていることを確認します。 プラットフォーム (iOS、Android、Windows) ごとにポリシーを更新します | |
承認されたアプリとアプリ保護を要求する | クラウド アプリの一覧に Exchange Online を含めます | |
ActiveSync クライアントをブロックする | この新しいポリシーを追加します | |
Enterprise | ログオンリスクが低、中、または高の場合はMFAが必要 | クラウド アプリの割り当てに Exchange Online を含めます |
準拠している PC とモバイル デバイスを 要求する | クラウド アプリの一覧に Exchange Online を含めます | |
特殊なセキュリティ | 常に MFA を要求する | クラウド アプリの割り当てに Exchange Online を含めます |
ActiveSync クライアントをブロックする
Exchange ActiveSync を使うと、デスクトップとモバイル デバイスでメッセージと予定表のデータを同期できます。
モバイル デバイスの場合、承認されたアプリとアプリ保護の要求で作成される条件付きアクセス ポリシーに基づいて、次のクライアントがブロックされます。
- 基本認証を使う Exchange ActiveSync クライアント。
- 先進認証をサポートしているが、Intune アプリ保護ポリシーをサポートしていない Exchange ActiveSync クライアント。
- Intune アプリ保護ポリシーをサポートしているが、ポリシーで定義されていないデバイス。
他の種類のデバイス (PC など) で基本認証を使って Exchange ActiveSync の接続をブロックするには、「すべてのデバイスで Exchange ActiveSync をブロックする」の手順のようにします。
Outlook on the web から Exchange Online へのアクセスを制限する
ユーザーがアンマネージド デバイス上の Outlook on the web から添付ファイルをダウンロードする機能を制限できます。 これらのデバイスのユーザーは、デバイスにファイルを漏えいしたり保存したりすることなく、Office Online を使ってこれらのファイルを表示および編集できます。 また、ユーザーがアンマネージド デバイスで添付ファイルを表示できないようにすることもできます。
次に手順を示します。
Exchange Online メールボックスを使うすべての Microsoft 365 組織には、OwaMailboxPolicy-Default という名前の組み込みの Outlook on the web (旧称 Outlook Web App または OWA) メールボックス ポリシーがあります。 管理者は、カスタム ポリシーを作成することもできます。
利用できる Outlook on the web メールボックス ポリシーを表示するには、次のコマンドを実行します。
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
添付ファイルの表示は許可し、ダウンロードは許可しない場合は、影響を受けるポリシーで次のコマンドを実行します。
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
次に例を示します。
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
添付ファイルをブロックするには、影響を受けるポリシーで次のコマンドを実行します。
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
次に例を示します。
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
Azure portal で、次の設定を使って新しい条件付きアクセス ポリシーを作成します。
[割り当て]>[ユーザーとグループ]: 適切なユーザーとグループを選んで、含めたり除外したりします。
[割り当て]>[クラウド アプリまたは操作]>[クラウド アプリ]>[含める]>[アプリの選択]: [Office 365 Exchange Online] を選びます。
[アクセス制御]>[セッション]: [アプリによって適用される制限を使用] を選びます。
iOS および Android デバイスで Outlook を使用する必要があることを要求する
iOS と Android のデバイスが職場または学校のコンテンツにアクセスするために Outlook for iOS および Android のみを使えるようにするには、それらを使う可能性があるユーザーを対象とする条件付きアクセス ポリシーが必要です。
このポリシーの構成手順については、Outlook for iOS と Android を使用したメッセージング コラボレーション アクセスの管理に関する記事をご覧ください。
メッセージの暗号化を設定する
Azure Information Protection の保護機能を使う Microsoft Purview Message Encryption を使うと、組織は保護されたメールをデバイスで誰とでも簡単に共有できます。 ユーザーは、Outlook.com、Gmail、その他のメール サービスを使って、他の Microsoft 365 組織や顧客以外のユーザーと、保護されたメッセージを送受信できます。
詳しくは、「Message Encryption を設定する」をご覧ください。
次のステップ
次のものに対する条件付きアクセス ポリシーを構成します。