基本認証と最新認証の比較、および Office 365 での有効化方法
ある調査によると、 ベライゾンの報告書、データ侵害の大部分は、特にメールサーバーにおいて、認証情報の漏洩によって引き起こされています。 ソーシャルエンジニアリング、認証情報のフィッシング、ブルートフォース攻撃などは、悪意のある攻撃者が認証情報を盗むために使用する手法の一部です。
Office へのログインのセキュリティを強化し、データ侵害の防止を支援するため、Microsoft はモダン認証を導入しました。この方法では、オンラインの Office 365 リソースに接続する際に、追加のユーザー認証と承認が必要となります。
その大きな利点により、2017 年以降に作成されたすべての Office 365 テナントでは、モダン認証がデフォルトで有効になっています。 これは、Office 365 アプリおよびサービスで利用可能な唯一のログイン方法です。ただし、オンプレミスとクラウドを組み合わせたハイブリッド Office 展開環境では、古いバージョンの Office クライアントに対してモダン認証を手動で有効にし、可能な場合は基本認証を無効にする必要があります。
このブログでは、ハイブリッド Office 展開における基本認証とモダン認証の方法について簡単に概要を説明し、Office 365 でモダン認証を有効にする手順を紹介します。
現代的な認証とベーシック認証
ベーシック認証が非推奨となるまで 2022年末を予定Microsoftは、ExchangeおよびSkype for Businessのハイブリッド展開において、2種類の認証方式(基本認証とモダン認証)を提供します。なお、クライアントを使用してSharePoint Onlineに接続する場合、利用可能なのはモダン認証とMicrosoft Online Sign-in Assistantのみです。
これら2つの認証方式は、セキュリティ機能の面で大きく異なります。基本認証は今年後半に廃止される予定ですが、2つの方式の違いを理解しておくことが重要です。
基本認証とは何ですか?
基本認証とは、ユーザー名とパスワードのみを使用して Office 365 アプリケーションに接続するプロセスです。メールクライアントでユーザー名とパスワードを入力すると、これらは Exchange Online に送信され、検証と認証が行われた後にクラウドサービスへの接続が確立されます。
これは旧式の方法であり、認証情報の脅威に対して十分な保護を提供できなくなっています。 基本認証の主な脆弱性の1つは、アプリケーションがユーザーの認証情報をデバイス上に保存してしまうことであり、これによりハッカーがパスワードを盗み出そうとする機会が増えます。さらに、条件付きアクセスや多要素認証(MFA)など、Microsoftの多くのIDおよびアクセス管理機能は、このOffice 365のレガシー認証では利用できません。
現代的な認証とは何ですか?
モダン認証とは、Microsoft Officeのクラウドリソースにアクセスするための、さまざまな認証および承認手法を組み合わせたものです。モダン認証は、Active Directory Authentication Library (ADAL) および OAuth 2.0 を基盤としています。
Active Directory Authentication Libraryは、アプリがセキュリティトークンを介して保護されたリソースにアクセスするための認証ツールです。ADAL を使用すると、ユーザーはシングルサインオン (SSO) を利用でき、利用可能な Office 365 リソースにシームレスにアクセスできます。OAuth 2.0これは、ユーザーがアクセストークンを使用してクライアントアプリ経由でリソースにアクセスできるようにする認証プロトコルです。このフレームワークではアクセス委任が採用されているため、ユーザーの認証情報はリソースサーバーと共有されません。
最新の認証フレームワークは、クライアントアプリから Microsoft 365 リソースにログインするユーザーに対して、セキュリティをさらに強化します。さらに、このフレームワークにより、多要素認証 (MFA) の有効化や、 条件付きアクセス 方針。
Office 365 でモダン認証を有効にする方法
2017年8月より前に作成されたMicrosoftテナントの場合、Office 365でモダン認証を有効にするには、いくつかの方法があります:
Microsoft 365 管理センターの使用
管理センターから Office 365 のモダン認証を有効にするには:
- にログインしてください Microsoft 365 管理センター.
- 左側のナビゲーションペインで、[展開] をクリックします
Settingsそして、クリックしてくださいOrg settings. - 以下
Services、選択Modern authentication. - [選択]
Turn on modern authentication for Outlook 2013 for Windows and later (recommended)チェックボックス。 - クリック
Save.
Exchange Online PowerShell の使用
Exchange Online PowerShell を使用してモダン認証を有効にするには、以下の手順に従ってください:
- Exchange Online PowerShell に接続する.
- Outlook 2013 以降のクライアントでは、次のコマンドを実行してください:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - 次のコマンドを実行して、変更が正常に行われ、モダン認証が有効になっていることを確認してください:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
なお、この設定を行っても、基本認証の使用は引き続き可能です。ただし、次のコマンドを実行することで、Outlook 2013 以降において O365 レガシー認証の使用を強制することができます:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Office 365 の基本認証を無効にする
Office 365 でモダン認証を有効にした後、基本認証プロトコルを無効にできるようになります。ただし、基本認証を利用しているユーザーがいないことを確認する必要があります。基本認証を使用しているユーザーがいるかどうかを確認するには、次の手順に従ってください:
- 開いてください Microsoft Azure アカウント。
- にアクセスする
Azure Active Directory.
- 選択
Sign-in logs左側のナビゲーションペインで。 - 変更
Date range~へLast 7 days以上。 - クリック
Add filters. - 選択
Client app次に、クリックしてくださいApply.
- 新しく作成したフィルターをクリックしてください
Client app. - 以下のすべてのチェックボックスにチェックを入れてください
Legacy Authentication Clients - クリック
Apply.
このリストには、すべてのサインインイベントと、それに対応するユーザーおよびアプリケーションが含まれています。基本認証を無効にする前に、これらのアプリケーションをすべて最新の認証プロトコルに移行することで、データを失うことを防ぐことができます。
O365のレガシー認証を無効にするには:
- にアクセスする Microsoft 365 管理センター.
- 左側のナビゲーションペインで、[ ] を展開します
SettingsをクリックしてOrg settings. - 選択
Modern authentication以下Services. - 以下のすべてのチェックボックスの選択を解除する
Allow access to basic authentication protocols. - クリック
Save.
Outlookのモダン認証
最新のOutlookでは、モダン認証がデフォルトでサポートされていますが、旧バージョンのクライアントに追加するには手動での設定が必要です。Outlookのバージョンによって、モダン認証を有効にするための要件は異なります:
Outlook 2010 or earlier:最新の認証方式はサポートされていません。この機能を利用するには、Outlook をアップグレードする必要があります。Outlook 2013:最新の認証機能は利用可能ですが、デフォルトでは有効になっていません。有効にした後は、Outlookでこの機能を使用するように設定する必要があります。Outlook 2016 or later + Outlook 365:最新の認証機能が利用可能で、デフォルトで有効になっています。
以下の表は、各バージョンの要件をまとめたものです:
| Outlookのバージョン | Modern Auth | EnableADAL レジストリキー | Modern Auth を強制する |
| Outlook 2010 | 対応していません | 利用不可 | 利用不可 |
| Outlook 2013 | 対応 | 必須 | 必須 |
| Outlook 2016 | 対応 | 不要 | 不要 |
| Outlook 2019 | 対応 | 不要 | 不要 |
| Outlook 365 | 対応済み | 不要 | 不要 |
Outlook 2013 の最新認証
前述の通り、Outlook 2013 はモダン認証に対応していますが、デフォルトでは基本認証が使用されます。モダン認証は手動で有効にすることができます。
これを行うには、Windows レジストリに以下のキーを追加する必要があります:
| レジストリキー | 種類 | 値 |
| HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityEnableADAL | REG_DWORD | 1 |
| HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityVersion | REG_DWORD | 1 |
これらのキーを設定した後、Outlook 2013 が基本認証に戻らないよう、モダン認証を強制するために、さらに 1 つのレジストリ キーを追加することを Microsoft は推奨しています。使用するべきキーは次のとおりです:
| レジストリキー | 種類 | 値 |
| HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Outlook 2016 以降のモダン認証
Outlook 2016 では、モダン認証がデフォルトで有効になっていますが、以下のレジストリキーを使用してモダン認証を強制的に有効にすることをお勧めします:
| レジストリキー | 種類 | 値 |
| HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Skype for Business のモダン認証
2017年8月1日より前に作成されたすべてのMicrosoftテナントでは、モダン認証がデフォルトで無効になっているため、手動で有効にする必要があります。Outlookと同様に、Skype for Businessでも以下のレジストリキーを使用してモダン認証を有効にできます:
| レジストリキー | 種類 | 値 |
| HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice15.0LyncAllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice16.0LyncAllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
結論
Microsoftは、単純な認証情報だけでは必要なセキュリティ保護を保証できなくなったため、O365のレガシー認証を段階的に廃止しています。 幸いなことに、他のセキュリティ対策も利用可能であり、Office 365 でモダン認証を有効にすることをお勧めします。有効化すると、多要素認証 (MFA) を有効にしたり、権限を定義したり、ユーザーごとの特定のアプリケーションへのアクセスを制限したりすることができます。
とはいえ、サードパーティ製の包括的なバックアップソリューションを導入することで、Office 365 環境の最適な保護が確保されます。次のような完全なデータ保護ソリューションは NAKIVO Backup & Replication 組織内のMicrosoft 365データを保護するために必要なすべてのツールが含まれています。
