電子メールをセキュリティで保護するためのポリシーの推奨事項

[アーティクル]
05/21/2024

この記事では、先進認証と条件付きアクセスをサポートする組織のメールとメールクライアントを保護するために推奨されるゼロトラストの ID とデバイスアクセスポリシーを実装する方法について説明します。このガイダンスは、一般的な ID とデバイスのアクセスポリシーに基づいており、追加の推奨事項もいくつか含まれています。

これらの推奨事項は、ニーズの細かさに基づいて適用できる、セキュリティと保護の 3 つの異なるレベル (開始点、エンタープライズ、特殊なセキュリティ) に基づいています。これらのセキュリティレベルと推奨されるクライアントオペレーティングシステムについて詳しくは、推奨されるセキュリティポリシーと構成の概要に関する記事をご覧ください。

これらの推奨事項では、ユーザーがモバイルデバイスで Outlook for iOS や Outlook for Android などの最新のメールクライアントを使っている必要があります。 Outlook for iOS と Android では、Microsoft 365 の最適な機能がサポートされています。これらのモバイル Outlook アプリの設計には、モバイル使用をサポートし、他の Microsoft クラウドセキュリティ機能と連携するセキュリティ機能も組み込まれています。詳しくは、Outlook for iOS と Outlook for Android の FAQ に関する記事をご覧ください。

メールを含むように一般的なポリシーを更新する

メールを保護するには、次の図で示すポリシーを、一般的な ID とデバイスのアクセスポリシーから更新します。

ActiveSync クライアントをブロックするために Exchange Online のための新しいポリシーが追加されていることに注意してください。このポリシーは、モバイルデバイスで Outlook for iOS と Android を使うことを強制します。

ポリシーを設定するときにそのスコープに Exchange Online と Outlook を含めた場合は、ActiveSync クライアントをブロックする新しいポリシーを作成するだけで済みます。次の表で示すポリシーを検討し、推奨されている追加を行うか、これらの設定が既に含まれていることを確認してください。各ポリシーは、一般的な ID とデバイスのアクセスポリシーに関する記事の関連する構成手順にリンクしています。

防護等級	ポリシー	詳細
開始ポイント	ログインリスクが中程度または高レベルの場合はMFAが必要	クラウドアプリの割り当てに Exchange Online を含めます
	最新の認証をサポートしていないクライアントのブロック	クラウドアプリの割り当てに Exchange Online を含めます
	APPデータ保護ポリシーの適用	Outlook がアプリの一覧に含まれていることを確認します。プラットフォーム (iOS、Android、Windows) ごとにポリシーを更新します
	承認されたアプリとアプリ保護を要求する	クラウドアプリの一覧に Exchange Online を含めます
	ActiveSync クライアントをブロックする	この新しいポリシーを追加します
Enterprise	ログオンリスクが低、中、または高の場合はMFAが必要	クラウドアプリの割り当てに Exchange Online を含めます
	準拠している PC とモバイルデバイスを要求する	クラウドアプリの一覧に Exchange Online を含めます
特殊なセキュリティ	常に MFA を要求する	クラウドアプリの割り当てに Exchange Online を含めます

ActiveSync クライアントをブロックする

Exchange ActiveSync を使うと、デスクトップとモバイルデバイスでメッセージと予定表のデータを同期できます。

モバイルデバイスの場合、承認されたアプリとアプリ保護の要求で作成される条件付きアクセスポリシーに基づいて、次のクライアントがブロックされます。

基本認証を使う Exchange ActiveSync クライアント。
先進認証をサポートしているが、Intune アプリ保護ポリシーをサポートしていない Exchange ActiveSync クライアント。
Intune アプリ保護ポリシーをサポートしているが、ポリシーで定義されていないデバイス。

他の種類のデバイス (PC など) で基本認証を使って Exchange ActiveSync の接続をブロックするには、「すべてのデバイスで Exchange ActiveSync をブロックする」の手順のようにします。

Outlook on the web から Exchange Online へのアクセスを制限する

ユーザーがアンマネージドデバイス上の Outlook on the web から添付ファイルをダウンロードする機能を制限できます。これらのデバイスのユーザーは、デバイスにファイルを漏えいしたり保存したりすることなく、Office Online を使ってこれらのファイルを表示および編集できます。また、ユーザーがアンマネージドデバイスで添付ファイルを表示できないようにすることもできます。

次に手順を示します。

Exchange Online PowerShell に接続します。
Exchange Online メールボックスを使うすべての Microsoft 365 組織には、OwaMailboxPolicy-Default という名前の組み込みの Outlook on the web (旧称 Outlook Web App または OWA) メールボックスポリシーがあります。管理者は、カスタムポリシーを作成することもできます。

利用できる Outlook on the web メールボックスポリシーを表示するには、次のコマンドを実行します。
```
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
```
添付ファイルの表示は許可し、ダウンロードは許可しない場合は、影響を受けるポリシーで次のコマンドを実行します。
```
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
```
次に例を示します。
```
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
```

添付ファイルをブロックするには、影響を受けるポリシーで次のコマンドを実行します。

Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

次に例を示します。

Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

Azure portal で、次の設定を使って新しい条件付きアクセスポリシーを作成します。

[割り当て]>[ユーザーとグループ]: 適切なユーザーとグループを選んで、含めたり除外したりします。

[割り当て]>[クラウドアプリまたは操作]>[クラウドアプリ]>[含める]>[アプリの選択]: [Office 365 Exchange Online] を選びます。

[アクセス制御]>[セッション]: [アプリによって適用される制限を使用] を選びます。

iOS および Android デバイスで Outlook を使用する必要があることを要求する

iOS と Android のデバイスが職場または学校のコンテンツにアクセスするために Outlook for iOS および Android のみを使えるようにするには、それらを使う可能性があるユーザーを対象とする条件付きアクセスポリシーが必要です。

このポリシーの構成手順については、Outlook for iOS と Android を使用したメッセージングコラボレーションアクセスの管理に関する記事をご覧ください。

メッセージの暗号化を設定する

Azure Information Protection の保護機能を使う Microsoft Purview Message Encryption を使うと、組織は保護されたメールをデバイスで誰とでも簡単に共有できます。ユーザーは、Outlook.com、Gmail、その他のメールサービスを使って、他の Microsoft 365 組織や顧客以外のユーザーと、保護されたメッセージを送受信できます。

詳しくは、「Message Encryption を設定する」をご覧ください。

次のステップ

次のものに対する条件付きアクセスポリシーを構成します。

Share via