Outlook のレガシー認証ブロック (テナント制限に関連する ADAL 認証の強制)

こんにちは、コラボレーション担当の和田です。

以前のブログで、フォワード プロキシ サーバーと Azure AD を使用した、自社テナント以外へのアクセス制限をご紹介しました。

 

TITLE: 自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions)
URL: https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/

 

この機能は、現在のところ、ブラウザーでは完全に機能しますが、Outlook と Skype のリッチ クライアント アプリではレガシー認証が利用可能であり、ADAL が無効なテナントに接続しようとすると ADAL 認証を迂回してしまうため、完全には制御できませんでした。Outlook の場合は、既定以外の Exchange アカウントの追加を禁止したり、自社テナント以外の自動検出(Autodiscover)URL へのアクセスをブロックするなどの対処が必要でした。

 

※ 2017 年 9 月現在、新規に作成されるテナントについては、Exchange Online 及び Skype for Business Online も既定で ADAL が有効になるように変更されています

 

概要

これに対応するため、Outlook 2016 にオプション機能が追加され、レジストリ キーで ADAL 認証を強制できるようになりました。このレジストリ キーが構成された Outlook では、Exchange Online に接続する際に ADAL 認証のみが利用されるようになるため、必ず Azure AD のテナント制限の対象に含めることができ、ブラウザーに加えて Outlook も完全制御できるようになります。Outlook プロファイル作成時や Outlook 起動時に、接続先のテナントが ADAL 無効になっている場合は、レガシー認証のポップアップは引き続き表示されますが、ユーザー名・パスワードを入力して認証が完了しても、Outlook からはメールボックスにはアクセスできないように制御されます。

 

 

<新規 Outlook プロファイルで別テナントにアクセスしようとした場合>

オンライン モードでアクセスした場合や、新規プロファイルでアクセスしようとした場合(OST ファイルが生成されていない)は、Outlook は起動せずエラーで停止します。

 

 

<Outlook プロファイルが既にありキャッシュが存在する場合>

キャッシュ モードで既に OST ファイルが生成されている場合は、Outlook は起動しますが、接続状態が [切断] となり、メールボックスへはアクセスできません。

 

 

Outlook で他社テナントに接続するためには、接続先のテナントで ADAL を有効にする必要があり、ADAL を有効にした場合は Azure AD のテナント制限の対象とすることができますので、本レジストリ キーとテナント制限の組合せにより、Outlook クライアントでも完全に制御ができるようになります。

 

構成方法

本機能を利用するためには、Outlook 2016 が最新の状態であることと、レジストリ キーが追加されていることが条件となります。Outlook 2013 以前ではご利用になれません。

 

最新版の Outlook 2016 がインストールされた PC に対して、以下のレジストリ キーを追加します。

 

キー:  HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Outlook\HTTP
名前:  RequireADAL
種類:  DWORD 値
値:  1

 

[Microsoft] 以下のキー [Office\16.0\Outlook\HTTP] は、既定では存在していない場合がありますので、その場合は新規作成してください。

 

TITLE: Outlook 2016 が ADAL を使用しない場合は、Exchange アカウントに接続することを防止するためのオプションを追加します。
URL: https://support.microsoft.com/ja-jp/help/4011124/adds-an-option-to-prevent-outlook-2016-from-connecting-to-an-exchange

 

Office 365 ProPlus の Outlook 2016 をお使いの場合は、2017 年 10 月 3 日にリリースされた 月次チャネル (Monthly Channel) の バージョン 1708 (Build 8431.2094) 以降をご利用頂く必要があります。

TITLE: Version and build numbers of update channel releases
URL: https://support.office.com/en-us/article/ae942449-1fca-4484-898b-a933ea23def7

 

MSI 形式の Outlook 2016 の場合は、2017 年 9 月 12 日の更新プログラム (KB4011091) が適用されている必要があります。

TITLE: Outlook 2016 セキュリティ更新プログラムについて2017 年 9 月 12 日
URL: https://support.microsoft.com/ja-jp/help/4011091/descriptionofthesecurityupdateforoutlook2016september12-2017

 

Skype for Business クライアントについては、現在のところレジストリ キーの提供予定はありませんので、プロキシによる SOAP リクエストのユーザー名解析等をご検討ください。

なお、Microsoft Teams では、すべてのユーザー認証が ADAL となっており、レガシー認証は存在しませんので、標準で Azure AD のテナント制限の対象とすることができます。これから新たにコミュニケーション ツールをご検討される場合には Microsoft Teams を是非ご利用ください。