アクセスポリシーグループで設定可能な項目

newgs_logo_.png ユーザー向け

o365_logo.png ユーザー向け

 

Q.

アクセスポリシーグループで設定可能な項目を教えてください。

 

A.

アクセスポリシーグループでは、以下の項目が設定可能です。

認証クッキーの有効期限

ログイン画面で「ログイン状態を保持する」にチェック入れた場合に、ログイン状態を保持する時間を設定できます。

[ログイン状態を保持する]機能の利用方法に関しては、以下の記事をご参照ください。

 

アクセスを許可する条件

Gmail、Outlook Web Access(OWA)など Webブラウザ経由で G Suite または、Office365 へアクセスを許可する際の条件を設定できます。

条件式凡例:

  • 無効
    Webブラウザ経由でのアクセス制御がかかることなく、一律で許可する条件式です。

  • 有効:false
    Webブラウザ経由でのアクセスを一律で禁止する条件式です。

  • 有効:ip4:xxx.xxx.xxx.xxx
    Webブラウザ経由で、記述された IP アドレス xxx.xxx.xxx.xxx からのアクセスを許可する条件式です。IP アドレスは、範囲指定で記述することもできます。

  • 有効:has_pass:true
    Webブラウザ経由で、アクセス元のブラウザ内の入場証クッキーの有無判定により、アクセスを許可する条件式です。
  • 有効:hsb:true
    セキュアブラウザからのアクセスを許可する条件式です。

 

設定例:

 Webブラウザ経由で、IP アドレス、或いは、入場証クッキーが存在するブラウザ、或いは、セキュアブラウザからのアクセスを許可する場合の設定例は下記の通りとなります。

 ip4:xxx.xxx.xxx.xxx or has_pass:true or hsb:true

 

OTP を要求しない条件

Webブラウザ経由でのアクセス時に、ログイン情報(ユーザーID・パスワード)の他に、OTP(ワンタイムパスワード)の入力要求を行わせる場合の条件式を指定します。なお、上述の「アクセスを許可する条件」欄に条件式が既に指定されていた場合には、「OTP を要求しない条件」欄に指定された条件式は有効になりません。OTP による2要素認証での運用を検討する場合には、「アクセスを許可する条件」欄は、必ず 無効 状態に指定する必要があります。

OTP の利用・運用方法に関しては、以下の記事をご参照ください。

 

条件式凡例:

  • 無効
    Webブラウザ経由でのアクセス時に OTP の入力が要求されない状態です。

  • 有効:false
    Webブラウザ経由でのアクセス時に一律で OTP の入力を要求する状態です。

  • 有効:ip4:xxx.xxx.xxx.xxx
    Webブラウザ経由で、記述された IP アドレス xxx.xxx.xxx.xxx 以外からのアクセスの場合に OTP の入力を要求する条件式です。IP アドレスは、範囲指定で記述することもできます。

  • 有効:has_pass:true
    Webブラウザ経由で、アクセス元のブラウザ内に入場証クッキーが存在しない場合に OTP の入力を要求する条件式です。入場証クッキーが存在する場合には、OTP の入力要求を行いません。
  • 有効:hsb:true
    セキュアブラウザ 以外からのアクセスの場合に OTP の入力を要求する条件式です。セキュアブラウザからのアクセスであった場合には、OTP の入力要求を行いません。

 

設定例:

 Webブラウザ経由で、IP アドレス、或いは、入場証クッキーが存在するブラウザ、或いは、セキュアブラウザからのアクセスの際には OTP の入力要求を行わない場合の設定例は下記の通りとなります。

 ip4:xxx.xxx.xxx.xxx or has_pass:true or hsb:true

OTP 共有鍵の変更を許可する条件

アクセスコントロールユーザー設定画面 (*) に、HDE OTP Generator や Google 認証システムなどの OTP 生成アプリケーションの利用設定メニュー("OTPをスマートフォンで受け取る"チェック)を表示/非表示する条件を設定できます。

※OTP を利用しない場合は、非表示に設定する必要があります。
OTP___________________.png

条件式凡例:

  • 無効
    OTP 生成アプリケーションの利用設定メニューを表示します。

  • 有効:false
    OTP 生成アプリケーションの利用設定メニューを表示しません。

OTP 通知メールアドレスの変更を許可する条件

アクセスコントロールユーザー設定画面 (*) に、指定したメールアドレスで OTP を受け取る利用設定メニュー("OTPをEメールで受け取る"チェック)を表示/非表示する条件を設定できます。

※OTP を利用しない場合は、非表示に設定する必要があります。

____________.png

条件式凡例:

  • 無効
    OTP を受け取る利用設定メニューを表示します。

  • 有効:false
    OTP を受け取る利用設定メニューを表示しません。

セキュアブラウザ設定画面へのアクセスを許可する条件

アクセスコントロールユーザー設定画面 (*) に、セキュアブラウザの利用設定メニューを表示/非表示する条件を設定できます。

※セキュアブラウザを利用しない場合は、非表示に設定する必要があります。

______________.png

条件式凡例:

  • 無効
    HDEセキュアブラウザ利用設定メニューを表示します。

  • 有効:false
    HDEセキュアブラウザ利用設定メニューを表示しません。

未読チェック設定の変更を許可する条件

アクセスコントロールユーザー設定画面 (*) に、セキュアブラウザで未読チェック設定メニューを表示/非表示する条件を設定できます。
下図のスクリーンショットは、G Suite で未読通知設定を利用した場合のメニュー表示です。(Office 365 でセキュアブラウザを利用している場合の未読チェックも、同様に本条件式にて設定可能です。)

※セキュアブラウザを利用しない場合は、非表示に設定する必要があります。

____________.png

条件式凡例:

  • 無効
    HDEセキュアブラウザで未読チェック設定メニューを表示します。

  • 有効:false
    HDEセキュアブラウザで未読チェック設定メニューを表示しません。

アプリケーションからのアクセスを許可する条件

Office 365 のみ利用可能な設定項目です。

Outlook / Lync クライアント、OneDrive など アプリケーションを経由した際のアクセスを許可する条件を設定できます。条件式内では、IP アドレスによる条件指定の他に、アクセス元のアプリから送出される http ヘッダー内のユーザーエージェント文字列(条件式 uastr:)を記述する事もできます。しかしながら、ユーザーエージェント指定による条件式指定は、アプリケーション側の仕様変更に伴い送出される文字列が変更される可能性もありますので、実運用いただく際には充分なご検討をお願い致します。

条件式凡例:

  • 無効
    すべての場合にアクセスが許可されます。

  • 有効:ip4:xxx.xxx.xxx.xxx
    IP アドレス xxx.xxx.xxx.xxx からのアクセスを許可します。

  • 有効:(uastr:"%Outlook%" or uastr:"%MSRPC%")
    Outlook クライアントのアクセスが許可されます。
  • 有効:(uastr:"%Apple-%" or uastr:"%Android%")

         iPhone/iPad/Android にプリインストールされたネイティブアプリから Active Sync 接続が許可されます。

 
(*) アクセスコントロールユーザー設定画面の URL は以下となります。

          
この記事は役に立ちましたか?

よくあるご質問

Powered by Zendesk