Microsoft 365 クライアントとサービス アプリのサポートMicrosoft 365 client and services app support

Microsoft は、お客様のデータを安全に保つために、幅広いセキュリティ、認証、コンプライアンス機能をサポートし、IT 管理者はユーザーのために Microsoft 365 管理センター内のポリシーをカスタマイズできます。Microsoft supports a wide range of security, authentication, and compliance features to keep customer data safe and allows IT administrators to customize policies within the Microsoft 365 admin center for their users. 次の機能は、Microsoft 365 サブスクリプションに応じて構成できる多数のエンタープライズ機能のサブセットにすら異なる機能です。The following features are just a subset of the many enterprise features that you can configure depending on your Microsoft 365 subscription.

クライアントとサービスのサポートClient and service support

継続的アクセス評価 (プレビュー)Continuous access evaluation (preview)

継続的なアクセス評価は、Exchange Online、SharePoint Online、Teams などのサービスが Azure Active Directory の重要なイベントをサブスクライブして、それらのイベントをほぼリアルタイムで評価および適用できる状態にすることで実装されます。Continuous access evaluation is implemented by enabling services, like Exchange Online, SharePoint Online, and Teams, to subscribe to critical events in Azure Active Directory so that those events can be evaluated and enforced near real time. 重要なイベント評価は条件付きアクセス ポリシーに依存しないので、どのテナントでも利用できます。Critical event evaluation does not rely on Conditional Access policies so is available in any tenant.

現在、次のイベントが評価されています。The following events are currently evaluated:

  • ユーザー アカウントが削除または無効になっているA user account is deleted or disabled
  • ユーザーのパスワードが変更またはリセットされるThe password for a user is changed or reset
  • ユーザーに対して多要素認証が有効になっているMulti-factor authentication is enabled for the user
  • 管理者がユーザーのすべての更新トークンを明示的に取り消すAdministrator explicitly revokes all refresh tokens for a user
  • Azure id Protection によって検出されたユーザー ADリスクの上昇Elevated user risk detected by Azure AD Identity Protection

クライアントおよびサービス アプリのサポートに対する継続的アクセス評価の詳細については、「継続的アクセス評価 (プレビュー)」を参照してくださいFor more information about continuous access evaluation for client and services app support, see Continuous access evaluation (preview).

クライアント サポートClient support

証明書ベースの認証Certificate-based authentication

証明書ベース認証 (CBA) は、リソース、ネットワーク、アプリケーション、またはサービスへのアクセスを許可する前に、デジタル証明書を使用してユーザー、コンピューター、またはデバイスを識別します。Certificate-based authentication (CBA) is the use of a digital certificate to identify a user, machine, or device before granting access to a resource, network, application, or service. ユーザー認証では、ユーザー名やパスワードなどの従来の方法と連携して展開される場合が多い。In user authentication, it is often deployed in coordination with traditional methods such as usernames and passwords.

一部の従来のソリューションは、生体認証やワンタイム パスワード (OTP) など、ユーザーにのみ機能します。Some traditional solutions only work for users, such as biometrics and one-time passwords (OTP). 証明書ベースの認証では、すべてのエンドポイントで同じソリューションを使用できます。ユーザー、デバイス、および増大するモノのインターネット (IoT)With certificate-based authentication, the same solution can be used for all endpoints; users, devices, and the growing Internet of Things (IoT).

クライアントおよびサービス アプリのサポートに対する証明書ベースの認証の詳細については 、「Microsoft 365 Client App Support: Certificate-based Authentication」を参照してくださいFor more information about certificate-based authentication for client and services app support, see Microsoft 365 Client App Support: Certificate-based Authentication.

条件付きアクセスConditional Access

条件付きアクセスは、Azure Active Directory が信号をまとめ、決定を下し、組織のアクセス ポリシーを適用するために使用するツールです。Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational access policies. 条件付きアクセスは、新しい ID 駆動型コントロール モデルの中心です。Conditional Access is at the heart of the new identity-driven control model.

条件付きアクセス ポリシーは、リソースへのアクセスを許可する if-then ステートメントです。Conditional Access policies are if-then statements for granting access to resources. ユーザーがリソースにアクセスする場合、ユーザーはアクションを完了する必要があります。If a user wants to access a resource, then the user must complete an action. ポリシー アクセスの決定を行う際に条件付きアクセスで使用できる一般的な信号は次のとおりです。Common signals that Conditional Access can use when making a policy access decision include:

  • ユーザーまたはグループのメンバーシップUser or group membership
  • IP の場所情報IP location information
  • デバイス情報Device information
  • アプリケーション情報Application information
  • リアルタイムおよび計算されたリスク検出Real-time and calculated risk detection
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)

これらのアクセス決定を行う場合、ポリシーは次の異なるアクションを実行できます。When making these access decisions, the policies can take different actions:

  • ポリシーはアクセスをブロックできます。この構成は最も制限の厳しいアクションであり、ユーザーがリソースにアクセスするのを防ぐためです。The policy can block access: This configuration is the most restrictive action and prevents the user from accessing the resource.

  • ポリシーはアクセスを許可できます。この構成は制限の少ない決定であり、次のオプションの 1 つ以上が必要な場合があります。The policy can grant access: This configuration is a less restrictive decision and may still require one or more of the following options:

    • 多要素認証Multi-factor authentication
    • 準拠としてマークするデバイスThe device to be marked as compliant
    • デバイスはハイブリッド Azure ADですThe device is hybrid Azure AD joined
    • 承認済みクライアント アプリAn approved client app
    • 構成されたアプリ保護ポリシー (プレビュー)App protection policy configured (preview)

クライアントおよびサービス アプリのサポートに対する条件付きアクセスの詳細については、以下を参照してください。For more information about Conditional Access for client and services app support, see:

モバイル アプリケーション管理Mobile application management

ユーザーは、多くの場合、同じモバイル デバイスから組織と個人のドキュメント、電子メール、およびデータの両方にアクセスします。Users often access both organization and personal documents, email, and data from the same mobile device. これらのデバイスは、多くの場合、個人所有であり、組織データとユーザーの個人プライバシーの両方を保護するように構成する必要があります。Those devices are often personally owned and should be configured to protect both organization data and the user's personal privacy.

ユーザーが組織データにアクセスする場合、組織は、構成ポリシーや保護ポリシーなどの組織ポリシーがデバイス上の組織データを保護するために適用されるという確信を持っている必要があります。When a user accesses organization data, the organization must be confident that organization policies, such as configuration policies and protection policies, are applied to help protect organization data on the device. さらに、デバイス上のユーザーの個人コンテンツは、組織の制御の外に残る必要があります。Additionally, the user's personal content on the device should remain outside of the organization's control.

組織で管理されるコンテンツの場合は、アプリケーション管理ポリシーを適用して、Microsoft Intune を使用してデータにアクセス、共有、および使用する方法を制御できます。For organization-managed content, you can apply application management policies to control how data is accessed, shared, and used by using Microsoft Intune. たとえば、次のアクションがサポートされています。For example, the following actions are supported:

  • 管理された組織のコンテンツをリモートワイプする (組織データとも呼ばれます)Remote wipe the managed organization content (also referred to org data)
  • 組織のコンテンツを組織以外の場所に貼り付け防止するPrevent pasting organization content into non-organization locations
  • 組織のコンテンツにアクセスするために PIN を要求するRequire a PIN to access organization content
  • 管理対象アプリが脱獄またはルートデバイスで実行されるのを防ぐPrevent managed apps from running on jailbroken or rooted devices
  • 組織のコンテンツが未承認のクラウド ストレージ プロバイダーに保存されるのを防ぐPrevent organization content from being saved to unapproved cloud storage providers
  • 未承認のコンテンツが管理アプリケーションに転送されるのを防ぐPrevent unapproved content from being transferred into managed applications
  • ポリシーが適用された後にのみ、組織のコンテンツへのアクセスを許可するAllow access to organization content only after policies have been applied
  • アプリケーションの動作と設定を管理するためのアプリケーション構成を提供するDeliver application configuration to manage the application's behavior and settings
  • マルチ ID 機能または個人用の使用を無効にして、管理アプリケーションを定義済みの ID に制限するRestrict the managed application to a defined identity by disabling multi-identity capabilities or personal usage

Microsoft Intune でのモバイル アプリケーション管理の詳細については、「Microsoft Intune アプリ管理とは 」を参照してください。For more information about mobile application management with Microsoft Intune, see What is Microsoft Intune app management?

多要素認証Multi-factor authentication

[多要素認証 (MFA) は、複数の個別の証拠を認証メカニズムに正常に提示した後にのみ、ユーザーにアクセスを許可するコンピューター アクセス制御の方法です。[Multi-factor authentication (MFA) is a method of computer access control in which a user is granted access only after successfully presenting several separate pieces of evidence to an authentication mechanism. このメソッドは通常、次のカテゴリのうち少なくとも 2 つを使用します。This method typically uses at least two of the following categories:

  • 知識 (知っているもの)Knowledge (something they know)
  • 所有 (持っているもの)Possession (something they have)
  • インヘレンス (何か)Inherence (something they are)

クライアントおよびサービス アプリのサポートに対する多要素認証の詳細については 、「Microsoft 365 Client App Support: 多要素認証」を参照してくださいFor more information about multi-factor authentication for client and services app support, see Microsoft 365 Client App Support: Multi-factor authentication.

シングル サインオンSingle sign-on

シングル サインオン (SSO) は、ユーザーが Azure Active Directory のアプリケーションにサインオンするときにセキュリティと利便性を向上します。Single sign-on (SSO) adds security and convenience when your users sign-on to applications in Azure Active Directory. シングル サインオンでは、ユーザーは 1 つのアカウントで 1 回サインインして、組織内のオンプレミスの Active Directory ドメイン サービス (AD DS) ドメインに参加しているデバイス、サービスとしてのソフトウェア (SaaS) アプリケーション、および Web アプリケーションにアクセスします。With single sign-on, users sign in once with one account to access on-premises Active Directory Domain Services (AD DS) domain-joined devices, software as a service (SaaS) applications, and web applications in your organization.

クライアントおよびサービス アプリサポートのシングル サインオンの詳細については 、「Microsoft 365 Client App Support: Single sign-on」を参照してくださいFor more information about single sign-on for client and services app support, see Microsoft 365 Client App Support: Single sign-on.

サービスのサポートServices support

先進認証Modern authentication

最新の認証では、Office 365 に対して認証を行い、テナント管理者が Office 365 テナント全体で次のような特定の認証要件を適用するための新しいシナリオを使用できます。Modern authentication enables new scenarios for customers to authenticate against Office 365 and for tenant admins to enforce specific authentication requirements across the Office 365 tenancy, such as:

  • テナントとサービスとの管理操作、およびアプリケーションとそのデータとのエンド ユーザーの対話に対する多要素認証のサポートMulti-factor authentication support for administrative interaction with the tenancy and services, and end-user interaction with applications and their data
  • 条件付きアクセスConditional access
  • SAML ベースのサード パーティ ID プロバイダーのサインインSAML-based third-party identity provider sign-in
  • パーソナル コンピューター上のスマートカード ログSmartcard log on personal computers
  • モバイル デバイスでの証明書ベースの認証Certificate-based authentication on mobile devices
  • 基本認証を使用して資格情報を送信する必要がなくなりました。No longer require the transmission of credentials over basic authentication.

最新の認証サービスのサポートの詳細については、「認証と 承認」を参照してくださいFor more information about modern authentication services support, see Authentication vs. authorization.

Azure Active Directory の条件付きアクセスとはAzure Active Directory Conditional Access

Azure Active Directory (Azure AD) 条件付きアクセス ルールを使用すると、デバイスコンプライアンスやネットワークの場所などの属性に基づいて、オンライン サービスへのアクセスを制御できます。Azure Active Directory (Azure AD) Conditional Access rules allow customers to control access to online services, based on attributes such as device compliance or network location. 次のソリューションを使用できます。The following solutions may be used:

  • Azure AD多要素認証ベースの条件付きアクセスAzure AD multi-factor authentication-based Conditional Access
  • Azure ADベースの条件付きアクセスAzure AD location-based Conditional Access
  • Azure ADベースの条件付きアクセスAzure AD device-based Conditional Access

Azure AD条件付きアクセス ルールはアプリケーションごとに適用され、さまざまな条件に基づいてアクセスを制御できます。Azure AD Conditional access rules are applied per-application and are available for customers to control access based on different conditions. モバイル デバイス管理 (MDM)または Intune を使用すると、組織のデバイスを使用しているユーザー、または管理のために個人用デバイスを登録したユーザーにのみ、Microsoft 365 へのアクセスを制限できる必要があります。Using Mobile Device Management (MDM) or Intune, customers must be able to restrict access to Microsoft 365 to only those users who are using an organization device or who have enrolled their personal device for management. たとえば、次のようなコントロールを適用するために条件付きアクセス ルールを構成できます。For example, customers may configure Conditional Access rules to enforce controls such as:

  • ドメインに参加しているデバイスまたはドメインに準拠しているデバイスからのアクセスのみを許可するOnly allow access from devices that are domain joined or domain compliant
  • Exchange Online サービスへのすべてのアクセスに対して多要素認証を適用するEnforce multi-factor authentication for all access to Exchange Online services

Azure Active Directory 条件付きアクセスの詳細については、「条件付きアクセス とは」を参照してください。For more information about Azure Active Directory Conditional Access, see What is Conditional Access?

TLS 1.2 のサポートTLS 1.2 support

Microsoft は、クラス最高の暗号化をお客様に提供するために、Office 365 および Office 365 GCC のトランスポート層セキュリティ (TLS) バージョン 1.0 および 1.1 のサポートを中止する予定です。To provide the best-in-class encryption to our customers, Microsoft plans to discontinue support for Transport Layer Security (TLS) versions 1.0 and 1.1 in Office 365 and Office 365 GCC.

お客様のデータに対するセキュリティの重要性を理解すると共に、お客様が利用しているサービスに影響を及ぼす可能性のある変更については、その情報を公開することをお約束いたします。We understand that the security of your data is important, and we're committed to transparency about changes that may affect your use of the TLS service. すべてのクライアント サーバーとブラウザー サーバーの組み合わせでは、TLS 1.2 (または以降のバージョン) を使用して、365 サービスへの接続Officeすることをお勧めします。We recommend that all client-server and browser-server combinations use TLS 1.2 (or a later version) to maintain connection to Office 365 services. クライアントとサーバー間、ブラウザーとサーバー間の特定の組み合わせについては、更新が必要になる場合があります。You might have to update certain client-server and browser-server combinations.

TLS 1.2 のサポートとサービスのサポートの詳細については 、「Office 365 および Office 365 GCC での TLS 1.2の準備」を参照してください。For more information about TLS 1.2 support and services support, see Preparing for TLS 1.2 in Office 365 and Office 365 GCC.