Exchange Online 基本認証の廃止に関するお客様への影響の判断方法

for Office 365

 

2020 年 2 月末の時点で、マイクロソフト社より最新のアナウンスがされました。
Outlook における基本認証が使えなくなることが明言されました。
これにより「Exchange Online における基本認証を廃止」に向けてのアナウンスは以下となります。

Exchange Online の基本認証が非推奨となります(公開日:2019 年 9 月 20 日)

Improving Security - Together (公開日:2019 年 9 月 20 日)

Basic Auth and Exchange Online – February 2020 Update(公開日:2020 年 2 月 25日)

  

マイクロソフト社の情報更新にあわせ、ヘルプセンターの記事についても更新いたしましたのでご確認ください。

(※注意喚起)Exchange Online における基本認証の廃止に伴う HENNGE One への影響について

 

本記事では、マイクロソフト社の最新アナウンスにより、影響範囲の判断が明確できるようになりましたので確認の観点を以下に記載させていただきます。

以下の動画でも概要を説明しておりますので併せてご覧いただければ幸いです。

動画で使用している資料は以下よりダウンロードしていただけます。

「Exchange Online 基本認証の廃止」お客様への影響の判断方法

1.はじめに

Exchange Online の基本認証の廃止について、HENNGE One については直接の影響を受けておりません。
もちろん、2020 年 10 月 13 日 の「Exchange Online 基本認証の廃止」以降も、Office 365 + HENNGE One の組み合わせは問題なくご利用いただけます。
まずはご安心ください。

ただし、Office 365 の Exchange Online 自体が基本認証によるアクセスを禁止いたしますので、お客様におかれましてはこの部分をご理解いただき、以下の内容を確認いただくようお願いいたします。

HENNGE One としては「Exchange Online における基本認証を廃止」の対策の結果として、ご利用になるアプリケーション・サービスが変わることで、HENNGE Access Control のアクセスポリシーの見直しを実施する可能性があることとなります。

2.前提

以下の前提をご理解の上で読み進めていただくようお願いいたします。

  1. 本記事の内容は、2020 年 2 月 25 日時点での Microsoft 社からの公式情報をもとにした記事内容となります。以後の Office 365 及び、Exchange Online 側のサービス アップデートにより予告なく変更される場合があります。
  2. Microsoft 社の公式発表では、今回の Exchange Online 基本認証廃止は、Exchange ActiveSync(EAS)、Exchange Web Service(EWS)、POP/IMAP、リモート PowerShell、PC クライアント用の Outlook を利用している場合に対象となります。
    なお、SMTP の基本認証廃止は、今回のアナウンスでは対象外(※今後の Office 365 のアップデートで対象)となります。
  3. あくまで、マイクロソフト社起因の変更となりますので、システム管理者様が取るべき対応や、ユーザー周知内容に関する正式見解、ご不明点等、HENNGE One 製品の設定変更にかかわる部分以外は、すべてマイクロソフト社へご確認いただきますようお願いいたします。

3.影響を受けない アプリケーション・サービス

以下のように認証時やアカウント設定時に HENNGE Access Control のログイン画面が表示されるものは影響を受けません。

  • Web ブラウザによる Outlook on the Web(OWA)
  • HENNGE Secure Browser による Outlook on the Web(OWA)
  • iOS/Android 用の Outlook アプリケーション
  • iOS 11.3以上の標準メーラーでアカウント設定時に [サインイン] ボタンを使用したプロファイル構成

【添付ファイル】影響を受けないアプリケーション・サービスのログイン・アカウント設定画面.pdf

尚、後述しておりますが Outlook 2016 以降でモダン認証を利用している場合も影響を受けません。

また、以下についてはマイクロソフト社より特別に影響がないようにするとアナウンスがありました。

  • SMTP 送信(※ただし、今後の Office 365 のアップデートで対象となる予定とのこと)

4.Office 365 テナントで事前に確認・対応しなければならない内容 

4.1.モダン認証(先進認証)が有効かどうかの確認

「Exchange Online 基本認証の廃止」に向けて、Office 365 テナントで Exchange Online のモダン認証(先進認証)が有効化されている必要があります。
まずはご自身の Office 365 テナントでExchange Online のモダン認証(先進認証)が有効化されているかどうか確認します。

Exchange Online モダン認証有効化状況の確認

特に Office 365 テナントが 2017 年以前に構築されていた場合には、Exchange Online のモダン認証(先進認証)は、初期設定時に無効の状態で構築されています。
後述の手順ですでに変更されている場合もございますが、十分にご注意いただければと思います。

 

【ご参考】
Outlook 2016 以降を用いることで、お客様の Office 365 テナントにおいてExchange Online のモダン認証(先進認証)が有効かどうかを知る方法があります。
アカウント設定を行った場合、

  • HENNGE Access Control のログイン画面が表示されなければモダン認証(先進認証)が無効
  • HENNGE Access Control のログイン画面が表示されればモダン認証(先進認証)が有効

となります。
ただし、設定変更については Powershell コマンドが必須となるため、あくまでも状況確認でのみ利用できる方法となります。

【添付ファイル】Outlook 2016 以降を用いたOffice 365 テナントが先進認証が有効かどうかの確認方法.pdf

4.2.モダン認証(先進認証)が無効の場合

「Exchange Online 基本認証の廃止」に向けて、Exchange Online のモダン認証(先進認証)が有効化していただく必要があります。
有効化されていない場合は利用するアプリケーション・サービスに関わらず基本認証となるため影響を受けます。
※上述の「影響を受けない アプリケーション・サービス」は除く

ただし、モダン認証(先進認証)が有効化を実施してしまうと、特に PC クライアント用の Outlook 2016 以降をご利用のユーザー全員の認証方式が基本認証からモダン認証(先進認証)変わり、アカウントの再認証・再設定の画面が HENNGE Access Control のログイン画面に変わります。

また、基本認証とモダン認証(先進認証)では認証の有効期間の考え方が変わります。
基本認証は処理の都度で認証処理を実施します。システム的には毎回認証処理を実施していることとなります。
モダン認証(先進認証)では一度認証処理を実施すると、認証トークンで処理されるようになります。
認証トークンの仕様上、有効期間はデフォルトで90日間であり、有効期間中にアプリケーション・サービスが利用されるとそのタイミングから有効期間がデフォルトで90日間となるため、基本的には一度認証を通すと使い続ける限りは再認証することがなくなります。

Azure AD が発行するトークンの有効期間について

※認証保持の仕様についての詳細はマイクロソフト社へご確認ください。

このため、ログイン画面や認証保持期間についてユーザー様へ周知いただくなどを、事前にご検討をいただく必要がございます。

上記の注意点を十分に検討したうえで、モダン認証(先進認証)の有効化手順を実施いただくようお願いいたします。

Exchange Online で先進認証を有効にする

※モダン認証(先進認証)の有効化手順についての詳細はマイクロソフト社へご確認ください。

 4.3.モダン認証(先進認証)が有効の場合

Exchange Online のモダン認証(先進認証)が有効化されている場合は、次の「5.アプリケーション・サービスの対応方法」に従い、アプリケーション・サービスの切替を検討します。

5.アプリケーション・サービスの対応方法

以下は Exchange Online のモダン認証(先進認証)が有効化されていることが前提で記載します。

尚、前述の「3.影響を受けない アプリケーション・サービス」はモダン認証(先進認証)が有効かどうかに関わらずご利用いただけます。

5.1.PC 用の Outlook

Outlook 2016 以降

Outlook 2016 以降のバージョンはそのままでお使いいただけます。
アカウントの認証・設定で HENNGE Access Control のログイン画面が表示されることを確認ください。

Outlook 2013

「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で Outlook 2013 をご利用される場合は各クライアントにて以下の手順を実施する必要があります。

Windows デバイスの Office 2013 の先進認証を有効にする   

対応後は、アカウントの認証・設定で HENNGE Access Control のログイン画面が表示されることを確認ください。

※本手順の詳細についてはマイクロソフト社 Office365サポートセンターへご確認ください。

Outlook 2010 以前

「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で利用することはできません。

Outlook 2016 以降のバージョンへ切替されることが推奨されております。

5.2.Exchange Active Sync

iOS 11.3 以降の標準メーラーでの Exchange ActiveSync

標準メーラーでアカウント設定時に [サインイン] ボタンを使用したプロファイル構成であればご利用いただけます。

標準メーラーでアカウント設定時に [手動構成] ボタンを使用したプロファイル構成の場合は、アカウントの再設定にて [サインイン] ボタンを使用したプロファイル構成に変更する必要があります。

マイクロソフト社からは iOS 用の Outlook アプリケーションをご利用になることが推奨されております。

iOS 11.3 よりも前の標準メーラーでの Exchange ActiveSync

「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で利用することはできません。

iOS を最新のバージョンにアップデートいただき、標準メーラーでアカウント設定時に [サインイン] ボタンを使用したプロファイル構成であればご利用いただけます。

マイクロソフト社からは iOS 用の Outlook アプリケーションをご利用になることが推奨されております。

Android の標準メーラーでの Exchange ActiveSync

「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で利用することはできません。

マイクロソフト社からは Android 用の Outlook アプリケーションをご利用になることが推奨されております。

5.3.POP/IMAP

基本認証を利用している POP/IMAP については「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で利用することはできません。 

モダン認証に対応した POP/IMAP についてはお使いいただけるようです。
※現在、Office 365 側にて機能実装中とのことです。

マイクロソフト社からは Outlook on the Web や Outlook をご利用になることが推奨されております。

5.4.リモート PowerShell

基本認証を利用しているリモート PowerShell については「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で利用することはできません。 

モダン認証に対応した リモート PowerShell についてはご利用いただけます。
※モダン認証に対応している場合、アカウントの認証時に HENNGE Access Control のログイン画面が表示されます。

リモート PowerShell については以下の手順にてモダン認証に対応することが可能です。

多要素認証を使用して Exchange Online PowerShell に接続する

5.5.Exchange Web Service

基本認証を利用している Exchange Web Service を使ったアプリケーション・サービスについては「Exchange Online 基本認証の廃止」(2020 年 10 月 13 日)以降で利用することはできません。 

利用中のアプリケーション・サービスが基本認証の廃止に対応しているかどうか、アプリケーション・サービス提供会社へ確認し、指示に従って環境設定変更を実施してください。

6.HENNGE Access Control のアクセスポリシーの見直し

以下は、「4.Office 365 テナントで事前に確認・対応しなければならない内容」と「5.アプリケーション・サービスの対応方法」が実施されている前提で記載します。

HENNGE Access Control をご利用の方はほとんどが、グローバル IP アドレスでのアクセス制御をしていただいております。
このため「Exchange Online における基本認証を廃止」以降に認証方式が基本認証からモダン認証に変更されたとしても、グローバル IP アドレス内からアプリケーション・サービスを利用される場合は、そのままご利用いただくことが可能です。
※アプリケーション・サービスのグローバル IP アドレスを条件に追加することも可能です。

グローバル IP アドレス外から PC 用の Outlook、iOS/Android 用の Outlook アプリケーションや iOS 11.3 以降の標準メーラーでの Exchange ActiveSync 等のアプリケーション・サービスを利用される場合に、「HENNGE Device Certificate」の導入を推奨いたします。

以下に「HENNGE Device Certificate」の導入手順を記載します。

6.1.事前準備

「HENNGE Device Certificate」の導入する場合は弊社営業窓口( cs-order@hennge.com )までご連絡ください。

6.2.「HENNGE Device Certificate」の有効化の確認

「6.1.事前準備」で弊社営業窓口へご連絡後に「HENNGE Device Certificate」のご契約の手続きが完了すると、管理画面の左側のメニューに「デバイス証明書」メニューが表示されます。

【添付ファイル】HENNGE Device Certificate 有効化の確認.pdf

6.3.アクセスポリシーの変更

HENNGE Access Control の管理画面にて、ご利用いただいているアクセスポリシーグループで、「アクセスを許可する条件」に「or」条件として「device_cert:any」を追加してください。

【添付ファイル】HENNGE Access Control でのアクセスポリシーの変更.pdf

6.4.「HENNGE Device Certificate」の利用方法

「HENNGE Device Certificate」の利用方法については以下のヘルプセンター記事をご確認ください。

HENNGE Device Certificate各種管理者マニュアル

HENNGE Device Certificate各種ユーザーマニュアル

HENNGE Device Certificate の発行

HENNGE Device Certificate のインストール

7.最後に

この記事に記載させていただいた内容は一般的なものです。
お客様の運用について記事に当てはまらない場合は、それぞれの問い合わせ先にご連絡の上、ご確認いただく事をお勧めします。

Office 365、Exchange Online の「Exchange Online における基本認証を廃止」の影響・対応状況については、マイクロソフト社 Office 365 サポート窓口へご連絡ください。

個々のアプリケーション、サービスの「Exchange Online における基本認証を廃止」の影響・対応状況については、各アプリケーション、サービス提供・開発ベンダーへご確認ください。

HENNGE Access Control のアクセスポリシーを見直しや HENNGE Device Certificate の導入の検討についてはこちらのフォームから受け付けております。

Exchange Online における基本認証の廃止に伴う HENNGE One お問い合わせフォーム

最後に、自社の影響範囲に関するお問い合わせを多数いただいております。しかしながら、弊社ではお客様のサービス利用状況を全て把握しているわけではございません。
そのため、お問い合わせフォームよりご連絡いただく際には、具体的にヘルプセンター記事の不明点やお客様のサービス利用状況をご記入くださいませ。

迅速に、正確に対応させていただくためにも、ご協力いただけますと幸いです。

※本内容は Office 365 のメッセージセンター(MC191153、MC204828)に基づき記載しております。

※マイクロソフト社からのアナウンス内容の更新、製品仕様の変更などがあった場合、本内容は更新されることがあります。

          
この記事は役に立ちましたか?

よくあるご質問