SharePoint Online管理センターですが、前回更新を確認してから5か月程度たち、今までになかったアクセスの制御という項目が追加されていました。
Office365 SharePoint Onlineの管理センターが新しくなっていました - ()のブログ
前回と比べるとポリシーというカテゴリが新設され、共有とアクセスの制御の2つがカテゴリ配下に入る形になったようです。
このうち共有は前からあったものと変わらないようです。
で、アクセスの制御ですが、項目として4つ設定可能な項目がありました。
タイトルの通り、ログイン制御の項目となっています。制御範囲はSahrePointとOneDriveと記されています。
まずは管理されていないデバイス。
これはHybrid AD Join端末やIntune管理対象の端末からのアクセスを許可するための項目のようです。Azure ADの条件付きアクセスにポリシーを作成する機能になるとのこと。
詳細は以下サイトに細かな設定方法が記されています。
非管理対象デバイスからのアクセスを制御する | Microsoft Docs
全アプリの許可、Webアクセスのみ許可、アクセスを行わせないの3種から選択することとなります。
ただし、匿名アクセスやADAL非対応アプリには無効となるようなので、それらの設定を合わせて行う必要があります。
続いてアイドルセッションのサインアウト。
これは何もしていないユーザーにサインアウトを行わせるというものですね。
セッションの永続化を推し進めているMSだったりしますが、利用されていないPCでログインしっぱなしは確かに危ないので、そういったケースをやめさせるための手段となりそうです。すでにTeamsでは実装されていましたね。
サインアウトまでの時間とその前の警告の時間を選択することができます。
続いてIP制御です。これはその名の通りIPでのアクセス制限です。
この機能を有効にすると、Teams、Yammer、Exchange以外のアクセスが禁止されるとのこと。(上記以外はIP制御を行う仕組みが整っていないためとなります。)
これも詳しい説明がサイトにありますので確認しておくのが良いと思います。
ネットワークの場所に基づいて SharePoint Online および OneDrive データへのアクセスを制御する | Microsoft Docs
最後に先進認証必須化です。ADALに対応していない古いアプリからのアクセスを制御するものですね。管理されていないデバイスと合わせての設定が重要かと思います。
ADAL自体はOffice 2016から既定有効となったので、最近はあまり気にしなくてもよいかもしれませんが、2013系のOfficeでは既定無効なのでまだ利用しているケースでは意識しておくことが必要です。
もともとアクセス制御はEMSの範囲ではあるものの、時折こういった形でOffice365側で実装が進むケースがあります。
セキュリティ強化は重要要素なので、一体化した対応ができるよう設計してもらいたいですね。
音楽:After, in the dark