FAQ - Office 365アプリケーションのアクセスコントロール

Printer Friendly Page

FAQ - Office 365アプリケーションのアクセスコントロール
※この記事は以下の記事の日本語訳です。
FAQ - Office 365 Access Control
https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949

 

2016年8月29日週、Palo Alto NetworksはMicrosoft® Office 365™アプリケーションID変更をリリースしました。我々のお客様に、変更の準備と、変更による問題を避けるために、Palo Alto Networksは以下の代理アプリケーションIDとデコード・コンテキストをアプリケーション、脅威コンテンツアップデート597でリリースします。既存のOffice 365ポリシーが8月29日週以降も有効に働くために、このドキュメントを読み、深く理解することを推奨します。

 

新アプリケーション(現時点で、仮設定のみ):

  • office365-enterprise-access
  • office365-consumer-access 

新デコード・コンテキストカスタムアプリケーション・シグネチャーのパターンマッチング (現時点で、仮設定のみ):

  • http-req-ms-subdomain

 

よくある質問とその回答:

 

Q. なぜPalo Alto Networksこの変更を実施したのか?

A. 現在はOffice 365を安全に使用にするために、我々のお客様は、 “ms-office365”と“ms-onedrive”アプリケーションIDをご使用いただいています。しかしながら、我々は、お客様が以下の目的を達することを求められていることを認識しています。

 

  • 企業向け、一般ユーザー向けOffice 365をネットワーク内で可視化する必要性
  • 特定の承認された企業向けOffice 365 アカウントを許可し、承認されていないOffice 365 アクセス(承認されていない企業向けOffice 365アカウントもしくは、一般ユーザーアカウント)をブロックする
  • 一般ユーザーアカウントでのOffice 365 サービスへのアクセスをブロック
  • “sharepoint-online” 共有機能でcross-tenantをコントロールまたは制限したい

 

Q. この変更によって得られる新しい機能は何ですか?

A. お客様がこの変更によって得られる新しい変更は以下になります:

  • 企業向け、一般ユーザー向けOffice 365をネットワーク内で可視化
  • 特定の企業向けOffice 365ログイン用のカスタムアプリケーションを作ることができます。このアプリケーションIDはドメイン名を使った企業向けoffice 365ログインアカウントで、例えば、ユーザーがoffice 365にuser@mydomain.orguser@mydomain.comもしくはuser@mydomain.onmicrosoft.comといったログイン名でアクセスした場合に、カスタムアプリケーションは “mydomain” といったドメイン名をチェックできます。作成されると、このアプリケーションIDは既存のOffice 365アプリケーションIDに設定することができ、このアプリケーションは認証された企業アカウントを使ったOffice 365へのアクセスに限定します。
  • 一般ユーザーアカウントでのOffice 365 サービスへのアクセスをブロック
  • “sharepoint-online” 共有機能でcross-tenantをURLフィルタリングかカスタムアプリケーションIDによる制御

 

Q. この機能を利用するためにSSL復号化機能を有効にする必要がありますか?

A. はい、SSL複合化機能を有効にする必要があります。

 

Q. SSL復号化機能をOffice 365 トラフィックで使用していない場合、この変更の影響をうけますか?

A. SSL複合化機能をOffice 365 トラフィックで使用していない場合この変更の影響を受けません。

 

Q. 上位ネットワークでSSL復号化機能が動作し、ファイアウォールが複合化トラフィックを受信している場合、影響を受けますか?

A. はい、この変更の影響を受けます。以下に示している推奨設定変更を実行してください。

 

Q. Office365 インスタンスの特定アカウントの “Custom Application” はどのようにつくりますか?

A. ステップ 1. Objects > Applicationsと進み、 “Add” をクリックして以下のように値を設定します。

  Screen Shot 2016-07-06 at 10.04.13 AM.png

 

  ステップ 2.  “Signatures” タブをクリックし、以下のように値を設定します。

 

Screen Shot 2016-07-06 at 10.07.24 AM.png

 

ステップ 3. 設定を保存し、コミットします。

 

Q. この変更によりどのような影響をうけますか? どのようにしてOffice 365 アプリケーションを継続して使用することを保証できますか?

A. 7月6日のコンテンツアップデートによって、Palo Alto Networksは “office365-enterprise-access” と “office365-consumer-access” を仮設定のアプリケーションIDとしてアプリケーション・カタログに追加します。これらのアプリケーションID配布は仮設定用で、我々のお客様に事前に必要な設定変更を事前に行うことができます。これらの2つの仮設定用アプリケーションIDは、8月29日の週のコンテンツアップデートが発生して動作し始めるまで、ファイアウォールのポリシーチェックに何ら動作影響はいたしません。

Palo Alto Networksはこれらの仮設定を正式なアプリケーションID “office365-enterprise-access” と “office365-consumer-access” 8月29日の週に変更します。

            

この移行期間による、Palo Alto Networksのタイムラインの概要は以下です:

  • 2016年7月5日の週: Palo Alto Networksは仮設定用の “office365-enterprise-access” と “office365-consumer-access” アプリケーションIDをコンテンツアップデートで提供します。このリリースバージョンでは、仮設定用のカスタム・デコード・コンテキスト “http-req-ms-subdomain” も提供されます。 上記で示したように、これはカスタムアプリケーションIDがOffice 365にアクセスする特定の承認された企業向けアカウントを特定する目的で使われます。これらの2つのアプリケーションIDとカスタムアプリケーションIDはファイアウォールのポリシーにアップデートされこの変更アナウンスの準備としてご使用いただくことができます。
  • 全てのOffice 365アクセスを許可する暫定のポリシー例

 Screen Shot 2016-07-06 at 10.09.18 AM.png

 

  • 承認された企業アカウントによるOffice 365アクセスのみを許可するカスタムアプリケーションIDのポリシー例

  example2.png 

 

  • 全ての企業アカウントによるOffice 365アクセスのみを許可するポリシー例

 example3.png

 

  • 8月29日週のコンテンツ・アップデートによりPalo Alto Networksは “office365-enterprise-access” と “office365-consumer-access” アプリケーションIDが動作します。これらのアプリケーションIDは設定されたポリシーによってOffice 365サービス宛のトラフィックにチェック、実行されます。もし上記のガイダンスのように変更されれば、Office 365サービスに対するアクセスコントロールを実施できます。

 

Q. もし “office365-enterprise-access” を追加しなかったり、Office 365企業向けログイン、カスタムアプリケーションIDを作らなかったらどうなりますか?

A. もし “office365-enterprise-access” やOffice 365企業向けログイン、カスタムアプリケーションIDを許可しなかった場合、Office365サービスが動作しません。我々は8月29日週に配布されるアップデートの準備として、上記の設定に携わることを強くお勧めします。

 

Q. “office365-consumer-access” アプリケーションIDをポリシーに追加しなければどうなりますか?

A. “office365-consumer-access” を明確に許可しない場合、ユーザーは一般ユーザー向けのOffice 365サービスにアクセスできなくなります。我々は8月29日週に配布されるアップデートの準備として、上記の設定に携わることを強くお勧めします。

 

Q. 既存の “ms-office365” “ms-onedrive” アプリケーションIDにどのような影響がありますか?

A. 既存のアプリケーションIDは8月28日まで動作します。しかし、8月29日週のコンテンツ・アップデートにより、ms-office365アプリケーションID向けのユーザーログインは、 “office365-enterprise-access” もしくは “office365-consumer-access” と識別されます。そのため、これらのアプリケーションIDが存在するセキュリティポリシーを上記の推奨のように設定変更してください。

 

Q. どのバージョンのPAN-OSがこの変更の影響を受けますか?

A. すべての現行のサポートバージョンのPAN-OSが8月29日週のコンテンツ・アップデートによって影響を受ける可能性があります。

 

Q. 上記の設定変更をおこなったが、新しいアプリケーションIDや起因するカスタムアプリケーションIDが見えません

A. これらは、8月29日週のコンテンツ・アップデートにより、仮設定のアプリケーションIDやデコード・コンテキストが有効動作します。それまで、これらの仮設定は8月29日週の変更のアシスタント、アイデアとしてご利用になれます。

 

See also

Microsoft Office 365 Access Control Field Support Guide

 

著者: msandhu