Looking for:
- Microsoftのアクセス2013年総合的な日本のcashman pdf無料 |
Microsoftのアクセス2013年総合的な日本のcashman pdf無料
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。. トークンの有効期限と更新は、業界の標準メカニズムです。 Outlook などのクライアント アプリケーションが Exchange Online などのサービスに接続する場合、API 要求は OAuth 2. ユーザーの状態が変化したタイミングと、ポリシーの変更を適用できるタイミングの間のラグについて、お客様の懸念がありました。 Azure AD では、トークンの有効期間を短縮した "ブラント オブジェクト" アプローチを用いて実験を行いましたが、この場合、リスクがなくならずにユーザー エクスペリエンスと信頼性が低下する可能性があります。. ポリシー違反やセキュリティの問題にタイムリーに対応するには、トークン発行元 Azure AD と証明書利用者 対応のアプリ の間で "対話" を行う必要があります。 この双方向の対話では、2 つの重要な機能が提供されます。 証明書利用者は、ネットワークの場所など、プロパティがいつ変更したかを確認し、トークンの発行者に通知できます。 また、アカウントの侵害、無効化、またはその他の懸念事項のために、特定のユーザーのトークンへの信用を停止するよう証明書利用者に指示する方法が、トークン発行元に提供されます。 この対話のメカニズムは、継続的アクセス評価 CAE と呼ばれます。 重大なイベントの評価の目標は、応答をほぼリアルタイムにすることですが、イベントの伝搬時間のために最大 15 分の遅延が発生する可能性があります。ただし、IP の場所のポリシーは即時に適用されます。.
CAE を使用するようにアプリケーションを準備する方法については、「 継続的アクセス評価が有効になった API をアプリケーションで使用する方法 」を参照してください。. 継続的アクセス評価は、サービス Exchange Online、SharePoint Online、Teams など が Azure AD の重大なイベントにサブスクライブできるようにすることで実装されます。 この場合、これらのイベントをほぼリアルタイムで評価および適用できます。 重大なイベントの評価は、条件付きアクセス ポリシーに依存しないため、任意のテナントで使用できます。 現在、次のイベントが評価されます。.
このプロセスにより、重大なイベントが発生してから数分以内に、Microsoft クライアント アプリから組織の SharePoint Online ファイル、電子メール、予定表、タスク、および Teams にアクセスできなくなるというシナリオが可能になります。. このプロセスにより、ネットワークの場所が変更された場合はただちに、Microsoft クライアント アプリまたは SharePoint Online から組織のファイル、電子メール、予定表、タスクにアクセスできなくなるというシナリオが可能になります。. クライアント アプリとリソース プロバイダーのすべての組み合わせがサポートされているわけではありません。 後述の表を参照してください。 この表の最初の列は、Web ブラウザーを介して起動された Web アプリケーション つまり、Web ブラウザーで起動された PowerPoint を表し、残りの 4 つの列は、説明されている各プラットフォームで実行されているネイティブ アプリケーションを表します。 さらに、"Office" への参照には、Word、Excel、PowerPoint が含まれます。.
継続的アクセス評価を行う前に、クライアントは、期限切れになっていない限り、常にキャッシュからアクセス トークンを再生します。 CAE では、リソース プロバイダーが期限切れになっていない場合に、トークンを拒否できる新しいケースが導入されています。 キャッシュされたトークンの有効期限が切れていない場合でも、クライアントにキャッシュをバイパスするように通知するために、 要求チャレンジ と呼ばれるメカニズムが導入されました。これは、トークンが拒否されたため、Azure AD から新しいアクセス トークンの発行を受ける必要があることを示します。 CAE で要求チャレンジを認識するには、クライアントの更新が必要です。 次のアプリケーションの最新バージョンで、要求チャレンジがサポートされています。. リスクとポリシーはリアルタイムで評価されるため、継続的アクセス評価に対応するセッションをネゴシエートするクライアントは、静的アクセス トークンの有効期間ポリシーには依存しなくなります。 この変更により、CAE 対応のセッションをネゴシエートするクライアントでは、構成可能なトークンの有効期間ポリシーが受け入れられなくなります。.
CAE セッションでは、トークンの有効期間は最大 28 時間まで延長されます。 失効するかどうかは、任意の期間だけでなく、重大なイベントとポリシーの評価によって決まります。 この変更により、セキュリティ体制に影響を与えることなく、アプリケーションの安定性が向上します。. CAE 対応クライアントを使用していない場合、既定のアクセス トークンの有効期間は 1 時間のままです。 この既定値は、 構成可能なトークンの有効期間 CTL プレビュー機能を使用して、アクセス トークンの有効期間を構成した場合にのみ変更されます。. CAE 設定は、[条件付きアクセス] ブレードの下に移動されました。 新しい CAE のお客様は、条件付きアクセスポリシーの作成時に直接、CAE にアクセスしたり切り替えたりすることができます。 ただし既存のお客様は、条件付きアクセスから CAE にアクセスできるようになる前に、移行を終える必要があります。. 以前に [セキュリティ] の下で CAE 設定を構成したお客様は、設定を新しい条件付きアクセスポリシーに移行する必要があります。 CAE 設定を条件付きアクセスポリシーに移行するには、次の手順を移行します。.
セッション制御としての継続的アクセス評価の詳細については、「継続的アクセス評価のカスタマイズ」 セクションを参照してください 。. 管条件付きアクセスポリシーとグループ メンバーシップに管理者が加えた変更内容は、有効になるまでに最大 1 日かかることがあります。 この遅延は、Azure AD とリソース プロバイダー Exchange Online や SharePoint Online など との間のレプリケーションによるものです。 ポリシーの更新に関していくつかの最適化が行われ、遅延が 2 時間に短縮されています。 ただし、まだすべてのシナリオに対応しているわけではありません。.
これらのシナリオによる無限ループを回避するために、Azure AD では 1 時間の CAE トークンが発行され、クライアントの場所の変更が適用されません。 この場合、従来の 1 時間のトークンと比較してセキュリティは向上します。これは、クライアントの場所の変更イベント以外に 他のイベント も評価されるためです。. CAE では、 IP ベースの名前付きの場所 の分析報のみが得られます。 CAE では、 MFA の信頼できる IP や国ベースの場所など、他の場所の条件について分析情報は得られません。 ユーザーの場所が MFA の信頼できる IP、信頼できる場所 MFA の信頼できる IP を含む 、または国の場所である場合、ユーザーが別の場所に移動した後は CAE は適用されません。 このような場合は、Azure AD では、即時 IP 適用チェックなしで 1 時間のアクセス トークンが発行されます。.
継続的アクセス評価によってリアルタイムで場所のポリシーが適用されるようにする場合は、 IP ベースの条件付きアクセスの場所の条件 のみ使用し、ID プロバイダーとリソース プロバイダーが認識できる IPv4 と IPv6 の両方を含む すべての IP アドレスを構成してください。 Azure AD Multi-Factor Authentication のサービス設定ページにある国の場所の条件や信頼できる IP 機能は使用しないでください。. ロケーション ポリシーで指定されているすべての IP 範囲の合計が 5, を超えると、ユーザーによる場所の変更フローは CAE によってリアルタイムで適用されません。 この場合、Azure AD は 1 時間の CAE トークンを発行します。 CAE は、クライアントの場所の変更イベント以外に、 他のすべてのイベントとポリシー を適用し続けます。 この変更により、 他のイベント はほぼリアルタイムで評価されるため、従来の 1 時間のトークンよりも強力なセキュリティ体制が引き続き維持されます。.
Office 更新プログラム チャネルの詳細については、 Microsoft アプリの更新プログラム チャネルの概要 に関する記事を参照してください。 組織で Web アカウントマネージャー WAM を無効にしないことが推奨されます。. 複数のユーザーがドキュメントに対して同時に共同作業を行っている場合に、ポリシー変更イベントに基づいて、ドキュメントへのアクセスが CAE によって直ちに取り消されないことがあります。 この場合、ユーザーは次の後に完全にアクセスできなくなります。. この時間をもっと短縮するために、SharePoint 管理者は、 SharePoint Online でネットワークの場所のポリシーを構成する ことで、SharePoint Online および OneDrive for Business に保存されているドキュメントの共同編集セッションの最大有効期間を短縮できます。 この構成が変更されると、共同編集セッションの最長有効期間は 15 分に短縮されます。また、SharePoint Online の PowerShell コマンド " Set-SPOTenant —IPAddressWACTokenLifetime " を使用してさらに調整できます。.
IP アドレス ポリシーは、プッシュ通知が発行されるまで評価されません。 このシナリオは、プッシュ通知が送信され、評価対象の関連付けられた IP アドレスがないために存在します。 ユーザーが Outlook の電子メールなどのプッシュ通知をクリックすると、電子メールが表示される前に、CAE IP アドレス ポリシーが引き続き適用されます。 プッシュ通知にはメッセージ プレビューが表示されますが、これは IP アドレス ポリシーで保護されません。 その他のすべての CAE チェックは、プッシュ通知が送信される前に行われます。 ユーザーまたはデバイスのアクセス権が削除されている場合は、文書化された期間内に適用されます。. メイン コンテンツにスキップ. このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 Microsoft Edge をダウンロードする Internet Explorer と Microsoft Edge の詳細情報.
目次 フォーカス モードの終了. 英語で読む 保存 目次 英語で読む 保存 印刷. 注意 クライアント アプリとリソース プロバイダーのすべての組み合わせがサポートされているわけではありません。 後述の表を参照してください。 この表の最初の列は、Web ブラウザーを介して起動された Web アプリケーション つまり、Web ブラウザーで起動された PowerPoint を表し、残りの 4 つの列は、説明されている各プラットフォームで実行されているネイティブ アプリケーションを表します。 さらに、"Office" への参照には、Word、Excel、PowerPoint が含まれます。.
重要 継続的アクセス評価によってリアルタイムで場所のポリシーが適用されるようにする場合は、 IP ベースの条件付きアクセスの場所の条件 のみ使用し、ID プロバイダーとリソース プロバイダーが認識できる IPv4 と IPv6 の両方を含む すべての IP アドレスを構成してください。 Azure AD Multi-Factor Authentication のサービス設定ページにある国の場所の条件や信頼できる IP 機能は使用しないでください。.
No comments:
Post a Comment