セキュリティ強化のために、Office 365 テナントを構成する Configure your Microsoft 365 tenant for increased security

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

このトピックでは、Microsoft 365 環境のセキュリティに影響を与えるテナント全体の設定の推奨構成について説明します。This topic walks you through recommended configuration for tenant-wide settings that affect the security of your Microsoft 365 environment. セキュリティニーズには、多かれ少なかれセキュリティが必要になる場合があります。Your security needs might require more or less security. これらの推奨事項を開始点として使用します。Use these recommendations as a starting point.

365 Officeスコアを確認するCheck Office 365 Secure Score

Office 365 Secure Score は、通常のアクティビティとセキュリティ設定に基づいて組織のセキュリティを分析し、スコアを割り当てる。Office 365 Secure Score analyzes your organization's security based on your regular activities and security settings and assigns a score. まず、現在のスコアをメモします。Begin by taking note of your current score. テナント全体の設定を調整すると、スコアが向上します。Adjusting some tenant-wide settings will increase your score. 目標は、最大スコアを達成するのではなく、ユーザーの生産性に悪影響を及ぼしない環境を保護する機会を認識する方法です。The goal is not to achieve the max score, but to be aware of opportunities to protect your environment that do not negatively affect productivity for your users. 「Microsoft Secure Score」を参照してくださいSee Microsoft Secure Score.

Microsoft 365 セキュリティ センターで脅威管理ポリシーを調整するTune threat management policies in the Microsoft 365 security center

Microsoft 365 セキュリティ センターには、環境を保護する機能が含まれています。The Microsoft 365 security center includes capabilities that protect your environment. また、監視とアクションの実行に使用できるレポートとダッシュボードも含まれています。It also includes reports and dashboards you can use to monitor and take action. 一部の領域では、既定のポリシー構成が使用されます。Some areas come with default policy configurations. 一部の領域には、既定のポリシーやルールが含まれます。Some areas do not include default policies or rules. 脅威管理の下にあるこれらのポリシーにアクセスして、より安全な環境の脅威管理設定を調整します。Visit these policies under threat management to tune threat management settings for a more secure environment.


分野Area 既定のポリシーを含むIncludes a default policy 推奨事項Recommendation
フィッシング対策Anti-phishing はいYes カスタム ドメインがある場合は、CEO などの最も価値のあるユーザーのメール アカウントを保護し、ドメインを保護するために、既定のフィッシング対策ポリシーを構成します。If you have a custom domain, configure the default anti-phishing policy to protect the email accounts of your most valuable users, such as your CEO, and to protect your domain.

Office 365のフィッシング対策ポリシーを確認し、「EOPでフィッシング対策ポリシーを構成する」または「Microsoft Defender for Office 365でフィッシング対策ポリシーを構成する」を参照してください。Review Anti-phishing policies in Office 365 and see Configure anti-phishing policies in EOP or Configure anti-phishing policies in Microsoft Defender for Office 365.

マルウェア対策エンジンAnti-Malware Engine はいYes 既定のポリシーを編集します。Edit the default policy:
  • 共通の添付ファイルの種類フィルター: [オン] を選択します。Common Attachment Types Filter: Select On

カスタム マルウェア フィルター ポリシーを作成し、組織内の指定したユーザー、グループ、またはドメインに適用することもできます。You can also create custom malware filter policies and apply them to specified users, groups, or domains in your organization.

詳しくは、以下の資料を参照してください。More information:

Microsoft Defender の安全な添付ファイル for Office 365Safe Attachments in Microsoft Defender for Office 365 いいえNo [安全な添付ファイル] のメイン ページで、[グローバル設定] をクリックし 、次の設定をオンにします。On the main page for Safe Attachments, click Global settings and turn on this setting:
  • SharePoint、OneDrive、Microsoft Teams 用の Microsoft Defender for Office 365 を有効にするTurn on Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams

次の設定で安全な添付ファイル ポリシーを作成します。Create a Safe Attachments policy with these settings:

  • [ブロック]: 不明 なマルウェア応答 として [ブロック] を選択します。Block: Select Block as the unknown malware response.
  • リダイレクトを有効 にする: このボックスをオンにして、管理者アカウントや検疫アカウントなどの電子メール アドレスを入力します。Enable redirect: Check this box and enter an email address, such as an admin or quarantine account.
  • 添付ファイルのマルウェア スキャンがタイム アウト またはエラーが発生した場合は、上記の選択を適用します。このボックスをオンにします。Apply the above selection if malware scanning for attachments times out or error occurs: Check this box.
  • 適用:***受信者ドメインがドメイン > を選択します。*Applied to: The recipient domain is > select your domain.

詳細: SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルと安全な添付ファイル ポリシーの設定More information: Safe Attachments for SharePoint, OneDrive, and Microsoft Teams and Set up Safe Attachments policies

Microsoft Defender for Office 365 の安全なリンクSafe Links in Microsoft Defender for Office 365 はいYes [セーフ リンク] のメイン ページで、[グローバル設定] をクリックしますOn the main page for Safe Links, click Global settings:
  • [セーフ リンクを使用する: Office 365 アプリケーション: この設定が有効になっていることを確認します。Use Safe Links in: Office 365 applications: Verify this setting is turned on.
  • ユーザーが [安全なリンク] をクリック しても追跡しない : この設定をオフにすると、ユーザーのクリックを追跡できます。Do not track when users click Safe Links: Turn this setting off to track user clicks.

次の設定で安全なリンク ポリシーを作成します。Create a Safe Links policy with these settings:

  • メッセージ内の不明な潜在的に悪意 のある URL のアクションを選択します。この設定が [オン] である必要 がありますSelect the action for unknown potentially malicious URLs in messages: Verify this setting is On.
  • Microsoft Teams 内の不明な URL または潜在的に悪意のある URL のアクションを選択します。この設定が [オン] に設定されているのを確認 しますSelect the action for unknown or potentially malicious URLs within Microsoft Teams: Verify this setting is On.
  • ファイルを指す疑わしいリンク やリンクに対してリアルタイムの URL スキャンを適用する: このボックスをオンにします。Apply real-time URL scanning for suspicious links and links that point to files: Check this box.
  • メッセージを配信する前に URL のスキャンが完了するのを待ちます。このボックスをオンにします。Wait for URL scanning to complete before delivering the message: Check this box.
  • 組織内で送信された電子メール メッセージに安全なリンクを適用 する : このボックスをオンにします。Apply Safe Links to email messages sent within the organization: Check this box
  • ユーザーに元の URL へのクリックを 許可しない: このボックスをオンにします。Do not allow users to click through to original URL: Check this box.
  • 適用先: 受信者ドメインがドメイン > を選択します。Applied To: The recipient domain is > select your domain.

詳細: 安全なリンク ポリシーを設定しますMore information: Set up Safe Links policies.

スパム対策 (メール フィルター)Anti-Spam (Mail filtering) はいYes 何を見守る:What to watch for:
  • スパムが多すぎます - カスタム設定を選択し、既定のスパム フィルター ポリシーを編集します。Too much spam — Choose the Custom settings and edit the Default spam filter policy.
  • スプーフィング インテリジェンス : ドメインをスプーフィングしている送信者を確認します。Spoof intelligence — Review senders that are spoofing your domain. これらの送信者をブロックまたは許可します。Block or allow these senders.

詳細: Microsoft 365 Email Anti-Spam Protection.More information: Microsoft 365 Email Anti-Spam Protection.

電子メール認証Email Authentication はいYes 電子メール認証では、ドメイン ネーム システム (DNS) を使用して、電子メールの送信者に関する電子メール メッセージに検証可能な情報を追加します。Email authentication uses a Domain Name System (DNS) to add verifiable information to email messages about the sender of an email. Microsoft 365 は既定のドメイン (onmicrosoft.com) の電子メール認証を設定しますが、Microsoft 365 管理者はカスタム ドメインに電子メール認証を使用できます。Microsoft 365 sets up email authentication for its default domain (onmicrosoft.com), but Microsoft 365 admins can also use email authentication for custom domains. 3 つの認証方法が使用されます。Three authentication methods are used:

注意

SPF、ハイブリッド展開、およびトラブルシューティングの非標準展開の場合: Microsoft 365がスプーフィングを防止するために Sender Policy Framework (SPF) を使用する方法。For non-standard deployments of SPF, hybrid deployments, and troubleshooting: How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing.

セキュリティ センターとコンプライアンス センターでダッシュボードとレポートを表示するView dashboards and reports in the security and compliance centers

環境の正常性の詳細については、これらのレポートとダッシュボードをご覧ください。Visit these reports and dashboards to learn more about the health of your environment. これらのレポートのデータは、組織が 365 サービスを使用するOfficeになります。The data in these reports will become richer as your organization uses Office 365 services. 今のところ、監視およびアクションを実行できる機能について理解してください。For now, be familiar with what you can monitor and take action on. 詳細については 、「Microsoft 365 セキュリティ/コンプライアンス センターのレポート」を参照してください。For more information, see : Reports in the Microsoft 365 security and compliance centers.


ダッシュボードDashboard 説明Description
脅威管理ダッシュボードThreat management dashboard セキュリティセンターの [脅威管理] セクションで、このダッシュボードを使用して、既に処理されている脅威を確認し、ビジネスをセキュリティで保護するために既に行っている脅威の調査と対応の機能についてビジネス意思決定者に報告するための便利なツールとして使用します。In the Threat management section of the security center, use this dashboard to see threats that have already been handled, and as a handy tool for reporting out to business decision makers on what threat investigation and response capabilities have already done to secure your business.
脅威エクスプローラー (またはリアルタイムの検出)Threat Explorer (or real-time detections) これは、セキュリティ センターの [脅威の管理 ] セクションにも表示されます。This is also in the Threat management section of the security center. テナントに対する攻撃を調査または発生している場合は、エクスプローラー (またはリアルタイムの検出) を使用して脅威を分析します。If you are investigating or experiencing an attack against your tenant, use Explorer (or real-time detections) to analyze threats. エクスプローラー (およびリアルタイム検出レポート) には、時間の過ぎた攻撃の量が表示され、脅威ファミリ、攻撃者インフラストラクチャなどによってこのデータを分析できます。Explorer (and the real-time detections report) shows you the volume of attacks over time, and you can analyze this data by threat families, attacker infrastructure, and more. [インシデント] リストに不審なメールをマークできます。You can also mark any suspicious email for the Incidents list.
レポート - ダッシュボードReports — Dashboard セキュリティ センターの [レポート ] セクションで、SharePoint Online 組織および Exchange Online 組織の監査レポートを表示します。In the Reports section of security center, view audit reports for your SharePoint Online and Exchange Online organizations. [レポートの表示] ページから Azure Active Directory (Azure AD) ユーザー サインイン レポート、ユーザー アクティビティ レポート、Azure AD 監査ログに アクセス することもできます。You can also access Azure Active Directory (Azure AD) user sign-in reports, user activity reports, and the Azure AD audit log from the View reports page.

セキュリティ センター ダッシュボード

追加の Exchange Online テナント全体の設定を構成するConfigure additional Exchange Online tenant-wide settings

Exchange 管理センターのセキュリティと保護のためのコントロールの多くは、セキュリティ センターにも含まれています。Many of the controls for security and protection in the Exchange admin center are also included in the security center. 両方の場所でこれらを構成する必要はない。You do not need to configure these in both places. 推奨される追加の設定を次に示します。Here are a couple of additional settings that are recommended.


分野Area 既定のポリシーを含むIncludes a default policy 推奨事項Recommendation
メール フロー (メール フロー ルール (トランスポート ルールとも呼ばれる)Mail Flow (mail flow rules, also known as transport rules) いいえNo 実行可能ファイルの種類をブロックし、マクロを含むOfficeファイルの種類をブロックすることで、ランサムウェアから保護するためのメール フロー ルールを追加します。Add a mail flow rule to help protect against ransomware by blocking executable file types and Office file types that contain macros. 詳細については、「メール フロー ルールを使用して Exchange Online で メッセージ添付ファイルを検査する」を参照してくださいFor more information, see Use mail flow rules to inspect message attachments in Exchange Online.

以下の追加トピックを参照してください。See these additional topics:

メール フロー ルールを作成して、外部ドメインへのメールの自動転送を防止します。Create a mail flow rule to prevent auto-forwarding of email to external domains. 詳細については、「Secure Score を使用したクライアント外部転送ルールの緩和」を参照してくださいFor more information, see Mitigating Client External Forwarding Rules with Secure Score.

詳細: Exchange Online のメール フロー ルール (トランスポート ルール)More information: Mail flow rules (transport rules) in Exchange Online

モダン認証を有効にするEnable modern authentication いいえNo モダン認証は、多要素認証 (MFA) を使用する前提条件です。Modern authentication is a prerequisite for using multi-factor authentication (MFA). メールを含むクラウド リソースへのアクセスをセキュリティで保護するには、MFA をお勧めします。MFA is recommended for securing access to cloud resources, including email.

以下のトピックを参照してください。See these topics:

モダン認証は、2016 クライアント、SharePoint Online、および OneDrive for Business Office既定で有効になっています。Modern authentication is enabled by default for Office 2016 clients, SharePoint Online, and OneDrive for Business.

詳細: 2016 クライアント アプリと 2016 Office 2013およびOffice認証のしくみMore information: How modern authentication works for Office 2013 and Office 2016 client apps

SharePoint 管理センターでテナント全体の共有ポリシーを構成するConfigure tenant-wide sharing policies in SharePoint admin center

ベースライン保護から始まる、高いレベルの保護で SharePoint チーム サイトを構成するための Microsoft の推奨事項。Microsoft recommendations for configuring SharePoint team sites at increasing levels of protection, starting with baseline protection. 詳細については 、「SharePoint サイトとファイルのセキュリティ保護に関するポリシーの推奨事項」を参照してくださいFor more information, see Policy recommendations for securing SharePoint sites and files.

ベースライン レベルで構成された SharePoint チーム サイトでは、匿名アクセス リンクを使用して外部ユーザーとファイルを共有できます。SharePoint team sites configured at the baseline level allow sharing files with external users by using anonymous access links. この方法は、電子メールでファイルを送信する代わりにお勧めします。This approach is recommended instead of sending files in email.

ベースライン保護の目標をサポートするには、ここで推奨されるテナント全体の共有ポリシーを構成します。To support the goals for baseline protection, configure tenant-wide sharing policies as recommended here. 個々のサイトの共有設定は、このテナント全体のポリシーよりも制限が厳しい場合がありますが、より制限的ではありません。Sharing settings for individual sites can be more restrictive than this tenant-wide policy, but not more permissive.


分野Area 既定のポリシーを含むIncludes a default policy 推奨事項Recommendation
共有 (SharePoint Online および OneDrive for Business)Sharing (SharePoint Online and OneDrive for Business) はいYes 外部共有は既定で有効になっています。External sharing is enabled by default. これらの設定をお勧めします。These settings are recommended:
  • 認証された外部ユーザーへの共有と匿名アクセス リンクの使用を許可する (既定の設定)。Allow sharing to authenticated external users and using anonymous access links (default setting).
  • 匿名アクセス リンクは、この数日間で期限切れになります。Anonymous access links expire in this many days. 必要に応じて、30 日などの数値を入力します。Enter a number, if desired, such as 30 days.
  • 既定のリンクの種類 - [内部] (組織内のユーザーのみ) を選択します。Default link type — select Internal (people in the organization only). 匿名リンクを使用して共有するユーザーは、共有メニューからこのオプションを選択する必要があります。Users who wish to share using anonymous links must choose this option from the sharing menu.

詳細: 外部共有の概要More information: External sharing overview

SharePoint 管理センターと OneDrive for Business 管理センターには、同じ設定が含まれます。SharePoint admin center and OneDrive for Business admin center include the same settings. どちらの管理センターの設定も両方に適用されます。The settings in either admin center apply to both.

Azure Active Directory で設定を構成するConfigure settings in Azure Active Directory

Azure Active Directory のこれら 2 つの領域にアクセスして、より安全な環境のためのテナント全体のセットアップを完了してください。Be sure to visit these two areas in Azure Active Directory to complete tenant-wide setup for more secure environments.

名前付き場所を構成する (条件付きアクセスの下で)Configure named locations (under conditional access)

組織にセキュリティで保護されたネットワーク アクセスを持つオフィスが含まれる場合は、信頼できる IP アドレス範囲を名前付き場所として Azure Active Directory に追加します。If your organization includes offices with secure network access, add the trusted IP address ranges to Azure Active Directory as named locations. この機能は、サインイン リスク イベントで報告された誤検知の数を減らすのに役立ちます。This feature helps reduce the number of reported false positives for sign-in risk events.

参照: Azure Active Directory の名前付き場所See: Named locations in Azure Active Directory

モダン認証をサポートしないアプリをブロックするBlock apps that don't support modern authentication

多要素認証には、最新の認証をサポートするアプリが必要です。Multi-factor authentication requires apps that support modern authentication. 最新の認証をサポートしていないアプリは、条件付きアクセス ルールを使用してブロックできません。Apps that do not support modern authentication cannot be blocked by using conditional access rules.

セキュリティで保護された環境では、最新の認証をサポートしていないアプリの認証を無効にしてください。For secure environments, be sure to disable authentication for apps that do not support modern authentication. これを Azure Active Directory で行うには、近日公開予定のコントロールを使用します。You can do this in Azure Active Directory with a control that is coming soon.

その間に、SharePoint Online および OneDrive for Business でこれを実行するには、次のいずれかの方法を使用します。In the meantime, use one of the following methods to accomplish this for SharePoint Online and OneDrive for Business:

Cloud App Security または 365 Cloud App Security Officeを開始するGet started with Cloud App Security or Office 365 Cloud App Security

365 Office 365 Cloud App Security を使用して、リスクを評価し、疑わしいアクティビティに警告し、自動的にアクションを実行します。Use Office 365 Cloud App Security to evaluate risk, to alert on suspicious activity, and to automatically take action. 365 Office 365 E5 プランが必要です。Requires Office 365 E5 plan.

または、Microsoft Cloud App Security を使用して、アクセスが許可された後でも、より深い可視性を取得し、包括的な制御を行い、Office 365 を含むすべてのクラウド アプリケーションの保護を強化します。Or, use Microsoft Cloud App Security to obtain deeper visibility even after access is granted, comprehensive controls, and improved protection for all your cloud applications, including Office 365.

このソリューションでは EMS E5 プランをお勧めしますので、環境内の他の SaaS アプリケーションでこれを使用できるよう、クラウド アプリ セキュリティから開始することをお勧めします。Because this solution recommends the EMS E5 plan, we recommend you start with Cloud App Security so you can use this with other SaaS applications in your environment. 既定のポリシーと設定から開始します。Start with default policies and settings.

詳しくは、以下の資料を参照してください。More information:

Cloud App Security ダッシュボード

その他のリソースAdditional resources

以下の記事とガイドでは、Microsoft 365 環境をセキュリティ保護するための追加の前付き情報を提供します。These articles and guides provide additional prescriptive information for securing your Microsoft 365 environment: