Livestyle サポートサイト
Livestyle サポートサイト > Office 365(管理者向け) > Azure Active Directory > 条件付きアクセスでレガシー認証をブロックする方法

条件付きアクセスでレガシー認証をブロックする方法

(公開: 2020年03月03日)

Office 365にアクセスする方法の1つに「レガシー認証(基本認証)」があります。
このアクセス方法は「条件付きアクセス」や「多要素認証」というセキュリティ機能が効かないため、とても危険なアクセス方法で、サイバー攻撃でよく使用されます。
そのため、レガシー認証を用いた接続を完全にブロックすることをお勧めしています。

 

 

 

レガシー認証基本情報

レガシー認証とはPOPやIMAP、SMTPを用いた認証方法です。
※旧メールアプリなどで主流であったことから「レガシー」という言葉が利用されているのだと思います。

この認証方法は「条件付きアクセス」や「多要素認証」というセキュリティ機能が効かず、IDとパスワードが分かればサインインできてしまうため、パスワードスプレー攻撃やブルートフォース攻撃の対象となっています。

 

 

レガシー認証ブロックの手順

レガシー認証をブロックする方法は、様々な機能で実現できますが、一番一般的な方法は「条件付きアクセス」による完全ブロックです。

 

 

1. Azure Active Directoryにサインイン

Azureポータル(https://portal.azure.com/)等にサインインし、[Azure Active Directory]を選択します。

 

 

 

 

2. 条件付きアクセスの設定画面に遷移

[セキュリティ]-[条件付きアクセス]-[新しいポリシー]を選択します。

 

 

 

 

3. 名前の入力

ポリシーが一目でわかるように名前を入力します。(例:レガシー認証ブロック など)

 

 

 

 

4. ユーザーとグループを設定

レガシー認証をブロックさせたいユーザーやグループを選択します。

 

 

※注意※
全ユーザーを対象とするのが推奨ですが、レガシー認証を使用しているユーザーとアプリケーションがないか確認し、必要に応じて対象外としてください。
使用状況の確認はポリシーの有効化にて「レポート専用」を選択してください。

 

※参考※
対象と対象外に同じユーザーがいる場合、対象外が適用されます。

 

 

 

5. クラウドアプリまたは操作を設定

クラウドアプリから「すべてのクラウドアプリ」を選択します。

 

 

 

 

6. 条件を設定

条件から「クライアントアプリ」を選択します。
構成を「はい」にして、以下の3つにチェックを付けます。
・モバイルアプリとデスクトップクライアント
・Exchange Active Sync クライアント
・他のクライアント

 

 

 

※注意※
クライアントアプリ(プレビュー)以外の条件項目を設定すると、ブロックができない可能性があります。

 

 

 

 

7. 許可を設定

許可から「アクセスのブロック」を選択します。

 

 

※注意※
「アクセスのブロック」以外の方法ではアクセス制御できません。

 

 

 

8. ポリシーの有効化

ポリシーの有効化を「オン」にして「作成」をクリックします。

 

 

※参考※
レポート専用を選択すると、実際のアクセスブロックはされません。アクセスブロックの対象となるアクセスをログで確認することができます。

 

 

 

レガシー認証は2020年10月に廃止されます

レガシー認証を用いたアクセスの殆どが2020年10月に廃止され、一切の接続ができなくなります。
その準備の意味でも、レガシー認証をブロックしていくことをお勧めします。