次の方法で共有

特定の Microsoft 365 ワークロードに推奨されるポリシー

Microsoft 365 組織で ゼロ トラストの一般的なセキュリティ ポリシー を構成したら、 ゼロ トラストの 3 つの基本原則に基づいて、特定のアプリとワークロードの追加のポリシーと設定を構成する必要があります。

  • 明示的に検証する
  • 最小特権を使用する
  • 侵害を前提とする

この記事では、特定のアプリとワークロードの追加のポリシーと設定について説明します。

ヒント

可能であれば、運用ユーザーにロールアウトする前に、非運用環境でポリシーをテストします。 テストは、ユーザーに考えられる影響を特定して伝えるために不可欠です。

ゼロ トラストに関する Microsoft Copilot の推奨事項

詳細については、「ゼロ トラスト セキュリティを使用して、Microsoft Copilots を含む AI コンパニオンの準備を行う」を参照してください。

ゼロ トラストに関する Exchange Online の推奨事項

このセクションでは、Exchange Online でのゼロ トラストの推奨設定について説明します。

外部受信者への自動メール転送が無効になっていることを確認する

既定では、Exchange Online Protection (EOP) の送信スパム ポリシーは、 受信トレイルール または メールボックス転送 (SMTP 転送とも呼ばれます) によって行われる外部受信者への自動メール 転送をブロックします。 詳細については、「 Microsoft 365 での自動外部メール転送の制御」を参照してください。

すべての送信スパム ポリシーで、[ 自動転送ルール ] 設定の値が [ 自動 - システム制御 (既定値)] または [オフ ] - [転送] が無効になっていることを確認します。 どちらの値も、影響を受けるユーザーによる外部受信者への自動メール転送をブロックします。 既定のポリシーはすべてのユーザーに適用され、管理者は特定のユーザー グループに適用されるカスタム ポリシーを作成できます。 詳細については、「EOP で送信スパム ポリシーを構成するを参照してください。

Exchange ActiveSync クライアントをブロックする

Exchange ActiveSync は、デスクトップおよびモバイル デバイス上の電子メールと予定表のデータを同期するクライアント プロトコルです。 次の手順で説明するように、セキュリティで保護されていない ActiveSync クライアントによる会社の電子メールへのアクセスをブロックします。

  • モバイル デバイス: 次の種類のモバイル デバイスからの電子メール アクセスをブロックするには、「 承認済みのアプリまたはアプリ保護ポリシーを要求する」で説明されている条件付きアクセス ポリシーを作成します。

    • 基本認証を使用する ActiveSync クライアント。
    • 先進認証をサポートするが、Intune アプリ保護ポリシーをサポートしていない ActiveSync クライアント。
    • Intune アプリ保護ポリシーをサポートしているが、アプリ保護ポリシーでは定義されていないデバイス。 詳細については、「 アプリ保護ポリシーを要求する」を参照してください。

    ヒント

    iOS/iPadOS および Android デバイスから会社の電子メールにアクセスするアプリとして、iOS および Android 用の Microsoft Outlook をお勧めします。

  • PC とその他のデバイス: 基本認証を使用するすべての ActiveSync クライアントをブロックするには、「 すべてのデバイスで Exchange ActiveSync をブロックする」で説明されている条件付きアクセス ポリシーを作成します。

Outlook on the web および新しい Outlook for Windows のメール添付ファイルへのアクセスを制限する

管理されていないデバイスのユーザーが Outlook on the web (旧称 Outlook Web App または OWA) および新しい Outlook for Windows で電子メールの添付ファイルを操作する方法を制限できます。

  • ユーザーが電子メールの添付ファイルをダウンロードできないようにします。 これらのファイルは、Office Online を使用して表示および編集でき、デバイスにファイルを漏洩したり保存したりすることはありません。
  • ユーザーに添付ファイルが表示されないようにする。

これらの制限は、Outlook on the web メールボックス ポリシーを使用して適用します。 Exchange Online メールボックスを使用する Microsoft 365 組織には、OwaMailboxPolicy-Default という名前の既定の Outlook on the web メールボックス ポリシーが組み込まれています。 既定では、このポリシーはすべてのユーザーに適用されます。 管理者は、特定のユーザー グループに適用されるカスタム ポリシー を作成 することもできます。

アンマネージド デバイス上の電子メールの添付ファイルへのアクセスを制限する手順を次に示します。

  1. Exchange Online PowerShell に接続します

  2. ウェブ メールボックス ポリシーで使用可能な Outlook を確認するには、次のコマンドを実行します。

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. 次の構文を使用して、Outlook on the web およびアンマネージド デバイス上の新しい Outlook for Windows のメール添付ファイルへのアクセスを制限します。

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    この例では、既定のポリシーで 添付ファイルを表示することはできますが、ダウンロードすることはできません

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    次の使用例は、既定のポリシーで 添付ファイルの表示をブロック します。

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. の Microsoft Entra 管理センターの https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview ページで、次の設定で新しい条件付きアクセスポリシーを作成します。

    • [割り当て] セクション:
      • ユーザー: [ を含める] タブと [ 除外] タブで、含める、または除外する適切なユーザーとグループを選択します。
      • ターゲット リソース: このポリシーが適用されるリソース (旧クラウド アプリ) を選択します>>[ タブを含める] >[リソースの選択]>[選択> を検索して選択] Office 365 Exchange Online
    • [アクセス制御] セクション: セッション>[アプリによって適用された制限を使用] を選択します。
    • [ポリシーを有効にする] セクションで [オン] を選択します。

メッセージの暗号化を設定する

Azure Information Protection の保護機能を使用する Microsoft Purview Message Encryption を使用すると、組織は保護された電子メールを任意のデバイス上のユーザーと簡単に共有できます。 ユーザーは、Microsoft 365、Outlook.com、Gmail、およびその他のメール サービスを使用する他の組織と保護されたメッセージを送受信できます。

詳細については、「メッセージの暗号化を設定する」を参照してください。

ゼロ トラストに関する SharePoint の推奨事項

このセクションでは、SharePoint でのゼロ トラストの推奨設定について説明します。

管理されていないデバイスによるアクセスを制限するように SharePoint アクセス制御を構成する

ヒント

このセクションの設定には、Microsoft Entra ID P1 または P2 が必要です。 詳細については、 Microsoft Entra のプランと価格に関する説明を参照してください。

SharePoint で管理されていないデバイスのアクセス制御を構成すると、アクセス レベルを適用する対応する条件付きアクセス ポリシーが Microsoft Entra ID で自動的に作成されます。 この組織全体の設定はすべてのユーザーに適用されますが、SharePoint アクセス制御に特に含まれるサイトへのアクセスにのみ影響します。

特に、次の手順で説明するように、 エンタープライズ またはゼロ トラストの 特殊なセキュリティ を使用するサイトを SharePoint アクセス制御に含める必要があります。

  1. SharePoint のアクセス制御で、制限付きの Web 専用アクセスを許可するか、 管理されていないデバイスのアクセスを ブロック するを構成します。 この設定はすべてのユーザーに適用されますが、サイトが SharePoint アクセス制御 (次の手順) に含まれていない限り、既にサイトのアクセス許可を持っているサイトへのアクセスには影響しません。

    ヒント

    サイト レベルのアクセスは、組織のアクセス制御設定よりも制限を超えることはできません。 たとえば、特定のサイトでAllowLimitedAccessまたはBlockAccessを使用できるように、組織全体のアクセス制御で管理されていないデバイスに対して制限付きの Web 専用アクセスを許可するを選択します。 組織全体のアクセス制御で [管理されていないデバイスの アクセスをブロック する] を選択した場合、特定のサイトで AllowLimitedAccess を使用することはできません ( BlockAccess のみ使用できます)。

  2. SharePoint Online PowerShell に接続し、Set-SPOSite コマンドレットの ConditionalAccessPolicy パラメーターを使用して、管理されていないデバイスの SharePoint アクセス制御にサイトを含めます。

    • エンタープライズ サイト: AllowLimitedAccess 値を使用して、アンマネージド デバイス上のユーザーがファイルをダウンロード、印刷、または同期できないようにします。
    • 特殊なセキュリティ サイト: BlockAccess 値を使用して、アンマネージド デバイスからのアクセスをブロックします。

    手順については、「特定の SharePoint サイトまたは OneDrive へのアクセスをブロックまたは制限する」を参照してください。

従来、サイト所有者は、サイトにアクセスするビジネス ニーズに基づいて SharePoint サイトのアクセス許可を管理します。 組織レベルとサイト レベルで管理されていないデバイスの SharePoint アクセス制御を構成すると、ゼロ トラスト保護レベルに基づいて、これらのサイトの一貫した保護が保証されます。

Contoso 組織のサイト例を次に示します。 非管理対象デバイスの SharePoint アクセス制御は、組織の 制限付き Web 専用アクセス レベルで構成されます。

  • エンタープライズ保護で構成された Analytics チーム サイト: サイトは、SharePoint アクセス制御のアンマネージド デバイス用の AllowLimitedAccess で構成されます。 サイトのアクセス許可を持つユーザーは、アンマネージド デバイス上のサイトにブラウザー専用でアクセスできます。 管理対象デバイス上の他のアプリを使用してサイトにアクセスできます。
  • ビジネス シークレット サイトは、特殊なセキュリティ保護を使用して構成します。サイトは、SharePoint アクセス制御のアンマネージド デバイス用の Block で構成されます。 サイトのアクセス許可を持つユーザーは、管理されていないデバイス上のサイトへのアクセスをブロックされます。 マネージド デバイス上でのみサイトにアクセスできます。

ゼロ トラストに関するMicrosoft Teamsの推奨事項

このセクションでは、Microsoft Teamsでのゼロ トラストの推奨設定について説明します。

Teams に依存するサービスのアーキテクチャ

it アーキテクト向け Microsoft 365 のMicrosoft Teamsおよび関連する生産性サービスの図は、Microsoft Teamsが使用するサービスを示しています。

Teams のゲストと外部アクセス

Microsoft Teamsは、組織外のユーザーに対して次のアクセスの種類を定義します。

  • ゲスト アクセス: チームのメンバーとして追加できるユーザーごとに Microsoft Entra B2B アカウントを使用します。 ゲスト アクセスを使用すると、Teams リソースにアクセスしたり、グループの会話、チャット、会議で内部ユーザーと対話したりできます。

    ゲスト アクセスとその実装方法の詳細については、「 Microsoft Teamsのゲスト アクセス」を参照してください。

  • 外部アクセス: Microsoft Entra B2B アカウントを持たない組織外のユーザー。 外部アクセスには、招待や通話、チャット、会議への参加を含めることができますが、チーム メンバーシップやチームのリソースへのアクセスは含まれません。 外部アクセスは、外部ドメインの Teams ユーザーが、組織内のユーザーと Teams で会議を検索、通話、チャット、および設定するための方法です。

    Teams 管理者は、カスタム ポリシーを使用して、組織、ユーザーのグループ、または個々のユーザーの外部アクセスを構成できます。 詳細については、「 IT 管理者 - Microsoft ID を使用して外部会議を管理し、ユーザーや組織とチャットする」を参照してください。

外部アクセス ユーザーのアクセスと機能は、ゲスト アクセス ユーザーよりも少なくなります。 たとえば、外部アクセス ユーザーは Teams を使用して内部ユーザーとチャットできますが、チーム チャネル、ファイル、またはその他のリソースにはアクセスできません。

条件付きアクセス ポリシーは、対応する Microsoft Entra B2B アカウントがあるため、Teams のゲスト アクセス ユーザーにのみ適用されます。 外部アクセスでは Microsoft Entra B2B アカウントが使用されないため、条件付きアクセス ポリシーを使用できません。

Microsoft Entra B2B アカウントでのアクセスを許可するための推奨ポリシーについては、「 ゲストおよび外部 B2B アカウントアクセスを許可するためのポリシー」を参照してください。

ゼロ トラストに関する SaaS アプリの推奨事項

Microsoft Defender for Cloud Apps は、Microsoft Entra 条件付きアクセス ポリシーに基づいて構築されており、ダウンロード、アップロード、コピー/貼り付け、印刷のブロックなど、サービスとしてのソフトウェア (SaaS) アプリを使用して詳細なアクションをリアルタイムで監視および制御できるようにします。 この機能により、企業リソースがアンマネージド デバイスやゲストからアクセスされる場合など、固有のリスクを伴うセッションにセキュリティが追加されます。

詳細については、「 ゼロ トラスト用 SaaS アプリを Microsoft 365 と統合する」を参照してください。