対象: Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business
(このブログは Japan Office Official Blog に 2012 年 12 月 17 日に投稿された記事のクロスポストです。)
Jeremy_MSFT
Jul 17 2012, 16:07 P7
Office 365 ProPlus は、セキュリティ管理やデータ管理の概念を変える製品です。エンドポイントとエンドポイント上のアクティビティの保護を重視する考え方から、データに安全にアクセスするための意思決定を重視する考え方への転換を後押ししています。ユーザーが、あるデバイスで作業した内容を保持したまま、別のデバイスに切り替えられるようにするには、リモートでホストされた環境にユーザーがログインするか、または、リモートに格納されたドキュメントへのアクセス権をエンドポイントが所持するかの、どちらかの作業が必要です。Office 365 ProPlus は、デバイスでのエクスペリエンスを最適化すると共に、Office Web Apps によってリッチなブラウザーベースのエクスペリエンスを提供します。いずれの場合も、ユーザーがリモートシステムにログインしてエンドポイントから表示を行う、リモート デスクトップ プロトコルをベースとしたアーキテクチャは使用しません。ファイルやコンテンツは、ブラウザーとリッチクライアントのどちらで表示されるかにかかわらず、使用デバイスに送信されるため、ファイル アクセスのセキュリティ保護が重要な問題となります。
電子メールまたはファイル ストレージに関するワークロードを Office 365 Enterprise サービスに移行する準備がまだ整っていない場合、Exchange と SharePoint 機能が使用できるのであれば、電子メール サービスやファイルはオンプレミス環境に格納できるので Office 365 ProPlus が最適な選択肢となります。Office 365 ProPlus でクラウドに格納する必要があるデータは、ライセンス認証と設定情報のローミング処理に使用する、ユーザー プリンシパル名と関連する最小限のユーザー属性だけです (主に HTTP によってファイルとカスタム辞書のエントリへのリンクが行われます)。その他のデータは、従来のデータ管理とアクセス モデルによってオンプレミス インフラストラクチャに格納されます。
サービスのセキュリティ保護
Office 365 のセキュリティの主な方向性については、このブログ シリーズでも触れてきましたが、セキュリティは Office サービスの認証や承認のほか、どのサービスを書き込み場所または読み取り場所として許可するかといったことにも関係します。後者の構成に関しては、新しいグループポリシー設定を使用することで Office 365 ProPlus と Office Professional Plus 2013 を管理し、SkyDrive またはサード パーティ クラウド上のストレージ場所への格納を制限することもできます。さらに、組織 ID へのサインイン資格情報を制限したり、個人 ID へのサインインやすべてのサインインを無効にしたりすることもできます。
サインインを完全に無効にする設定は、キー管理サービス (KMS) またはマルチ ライセンス認証キー (MAK) を介してライセンス認証を行う Office Professional Plus 2013 の Office インストール時に適用することをお勧めします。
ファイルやサービスへのアクセスを強化するには、Rights Management サービスや多要素認証を Active Directory フェデレーション サービスと組み合わせて利用します。これにより、組織のファイルの安全な認証と承認が可能になります。
クライアントのセキュリティ保護
Office 365 ProPlus では、エンタープライズクラスのセキュリティ制御と完全にサポートされたグループ ポリシー構成管理が利用できます。さらに、Office 2010 から引き継いだ機能として、保護されたビュー、データ実行防止 (DEP) サポート、信頼済みの場所およびドキュメント、Office ファイル検証およびファイルブロック、ActiveX Kill Bit などが挙げられます。Office 365 ProPlus の既定のセキュリティ設定は、多くの組織にとって適切なものとなっていますが、厳しいロックダウン環境では、グループポリシーを使用することで、ADMX 管理用テンプレートによる数千もの設定が可能となり、組織のニーズに合わせて Office の設定を細かく調整することができます。
Office on Demand と Office Web Apps のセキュリティ保護
Office on Demand は、SkyDrive Pro の格納場所からフル機能の Office アプリケーションをストリーミングすることができる新しい配信モデルです。これにより、Windows 7 またはそれ以降の OS を実行しインターネットに接続しているほぼすべての PC から、Office アプリケーションやファイルにすばやくアクセスすることができるようになります。ただし、ActiveX コントロールが管理者によって無効に設定されていないことが必要です。ここで、これらの条件を満たした、管理または所有されていない PC からのファイル アクセスについて考えてみましょう。この場合、ユーザーは管理されていない PC から SkyDrive Pro へのアクセスが許可されているため、Office on Demand で優れた表示エクスペリエンスや編集エクスペリエンスが提供されます。このユーザーがコピーをダウンロードして、メモ帳やブラウザーで表示しようとするとき、ファイルは既にコンピューターのローカルハード ドライブに格納されています。これらのファイルが、管理されていないコンピューターから既にアクセス可能な状態である場合、Office on Demand は優れたユーザーエクスペリエンスを提供すると同時に、セキュリティを維持することができます。
今後の予定
この記事では、クライアントにまつわるセキュリティの考慮事項に関して、ごく表面的なトピックを扱ったにすぎず、これまで大企業で Office 365 ProPlus の説明を実施してきた中で、質問されることが多かったポイントを中心に説明しています。Office Professional Plus 2013 および Office 365 ProPlus に関する製品およびサービスのセキュリティの詳細については、TechNet の「Office 2013 のセキュリティの概要 (英語)」を参照してください。また、グループ ポリシー管理については、Office 2013 管理テンプレート ファイル (ADMX/ADML) (英語)をダウンロードしてください。