Microsoft Teams をセキュアにつかう③多要素認証 (MFA) を社内で流行らせる
Microsoft Teams でゲストユーザー参加が可能になったりと運用や活用の幅が広がっています。
まず ID を狙うというのが攻撃の定石であることから ID とパスワードのみの認証運用は意味をなさないと個人的には感じているところです。
Microsoft Teams は Office 365 に含まれる 1 つのツールですので 多要素認証 (MFA) を使う事ができます。
展開の方法などは様々なブログにも載っているので今回は割愛し、社内に多要素認証を当たり前にする・流行らせるにはどうしたらいいのか?にフォーカスします。
社内に流行らせるには先ず身近なことで考えさせる
いきなり「MFA やりますよー!」と声掛けしても大体の企業ではそんなすぐに浸透はしないと思います。(浸透する会社はとっても素晴らしい会社さんです)
それもそのはず。ユーザーのセキュリティに対する意識は実はそんなに高くないのです。
なので、まずは身近な問題に置き換えて説明・浸透させることを推奨します。
例えば、以下は日常的に起こる ID 乗っ取りの例
・LINE で勝手に友人へ iTunes カードの購入依頼をしていた
など。身の回りで起きて実際困った覚えありませんか?
これって ID とパスワードが盗まれる、つまり家の鍵を盗られて家の中を好き放題される状態です。
余談ですが、
Facebook も一時期はパスワードを忘れると友人 3 人へ承認を取ればパスワードリセットし、本人の知らないところで完全な乗っ取りが可能(=自分の家なのに他人名義に勝手に変更される)なんてことも昔は出来ていちゃっていたんですよね。よく知り合いに似たアカウントから友達申請くるのもここを狙った攻撃だったと思うと恐ろしいですね。
多要素認証は、家の鍵にもう 1 つ全く異なる鍵をつけるイメージです。
これを IT の世界の話に戻すと ID とパスワード以外に全く異なる鍵をつけ、本人かどうかを確認する仕組みです。という位、かみ砕いてユーザーさんには説明をしてみて下さい。
ユーザーに負荷のかからない多要素認証の方法を考える
Office 365 ではSMS・電話・アプリの 3 種類から多要素認証の方法が選べます。
もしスマホを貸与・BYOD で持っている社員の方が多ければ、個人的にはアプリをオススメします。 Microsoft 社が出している Authenticator アプリです。
実はこれ Facebook や Twitter といったアプリの多要素認証の手段としても利用が可能です。コンシューマサービスの ID を守るところの教育も兼ねて、社内にこう言った使い方もできるというのを広めてみるのはいかがでしょうか?
LINE やスマホの使い方もそうだったと思うのですが、自分が普段利用するツールは是か非でも人間覚えようとします。
リテラシー教育はある程度時間がかかるものなので普段の生活に多要素認証を埋め込み無意識にセキュアに使わせながら教育を行う、という策は比較的効果が出やすいと体感しています。
Microsoft Teams を始めとした個別アプリで外部ユーザーにも多要素認証は強制が出来るのでぜひ展開時には多要素認証の構成・ユーザーへのセキュリティ教育も含めご検討してみてはいかがでしょうか。
それでは、本日はこの辺で。
Non-IT の私が 2 年半 で Microsoft 365 のプリセールス担当になった学習法
近頃、私の周りで Office 365 や EMS のソリューションを担いでる事を知って頂くと「どうしたら、Microsoft ソリューション の営業ができるのか?」等々のご相談を受けることがあります。
営業の手法などは立場によって異なるかと思いますので、私がのべ 2 年半 Microsoft 365 のプリセールスとして独り立ちするために何を学習してきたのかを書いてみたいと思います。
Microsoft ソリューションのこれから営業・プリセールスを始められる方のご参考になればと思います。
はじめの 1 年半は「ライセンス」しか分からなかった
以前所属していた会社で、Microsoft License に関わるテレセールスを行っていました。
それまで、人材営業しか経験のなかった私は先ずソフトウェアにライセンスというものがあるという事を知る、という超 IT 初心者でした。。
初めの頃の学習材料はほぼ「ライセンス早わかりガイド」を利用していました。
マイクロソフト ボリューム ライセンス - ライセンスまるごと早わかりガイド
こちらでは「どんな買い方があるのか」や「ライセンス認証の方法」を知るのに最適です。
買い方の次は「製品ごとにどのようなセット、数え方があるのか」を知ることが重要です。その際はこちらの製品条項、オンラインサービス条項などが調べるのには最適です。
製品ライセンス条件 – マイクロソフト ボリューム ライセンス
今はもう試験提供がされていませんが MCP 74-678 (大規模組織向けのマイクロソフトボリュームライセンスの設計と提供) 取得に向けた勉強も始めました。やはり実践に近い形で勉強を進めると、理解がすごくしやすいです。
そんなこんなで 1 年半くらいはライセンス主軸の知識しかありませんでした。
SI の勉強で苦労する
実はプリセールスができるようになったのは、Microsoft 製品に関わるようになってからの後半1年です。
縁あって現在の会社に転職、過去の経験を買われて Office 365 製品営業担当になりました。が、経験はあるといってもライセンス知識のみ、 SIer なので 1 から SI の勉強です。すごい苦労しました。多岐に渡りすぎてようわからん。
そんな私が勉強につまづいていた時にとてもお世話になったのが mstep です
こちらは Microsoft 社のパートナー向けに展開されている勉強講座がオフサイト/オンサイトで受けられます。ここで一通り、デプロイには何が必要、どういった運用懸念点があるのかを把握(&猛勉強も)し、MCP 70-346 (Office 365 の ID と管理) が取得できるくらいの SI 知識は付けられました。
関連製品の勉強は?
MCP が取れた頃くらいから Office 365 のプリセールスを始めました。
案件に携わって気付いたことなのですが、Office 365 は色んな考慮事項があります。例えば
・認証・認可⇒ AzureAD、暗号化の技術
・セキュリティ(NW、ID、データ)⇒ EMS、Windows 10 など
・利活用の方法⇒ 3 rdParty 含めて知る必要がある
あげればキリがありません。
その後は案件で携わった & 興味が出た分野から芋づる式に勉強です。その際によく見るようになったのが TechNet です。
実際の解決方法や、知恵袋のような形式で同様の悩みを抱えた方に対しての回答が見れたりとより実践に近い形で情報の収集ができました。また、ここの公式で足りない情報は Microsoft MVP の方のブログを見て理解に落とし込むことが多いです。
AzureAD 系なら、 Azure 系なら、と定期的に読むことで知見のある方がどういった追い方をするのかも傾向が分かるのでそれも面白いです。私がよく参考にしている 2 ブログをご紹介。
広く知った知識を更に深めるには
プリセールスを始めて 3 か月後くらいからは、ネットや書籍だけでは解決できない & 学習が追い付かないことを実感し、外部勉強会にも多く参加するようにしました。
そこで最新の情報をかみ砕いて説明していただいたり、実際にデプロイしたり、コミュニティが出来ることで日々の疑問の解決などをしています。
今は外部勉強会 + Microsoft さんで提供している社員の方々のブログを RSS 購読して最新のことを入れればなんとなく大枠は理解できる、というレベルにようやくなれたかな。。。と思っています。
さいごに
色々な学習ツールがあるので、自分にはどういった情報収集があっているのかを早々に見極めると学習を積み上げるのが非常に楽になると思います。
もちろん公式、勉強会の情報だけではなく、書籍などでも素晴らしいものがたくさんあるので読んで参考になった本は今後ブログでもご紹介しようと思います。
Office 365 学習深耕の直近 1 年で非常に多くのことを学び自信にもなったのですが、アウトプットをしないと相手に正しく伝えられない、という経験も多くしました。
それは、自分が所属している会社の顧客ターゲット層が何を求めていて、どんな情報提供を受けたいかなどが大きく関係しているとも思います(少なくとも現在の立場でライセンスの知識はそこまで要らないとも感じています)
なので、案件や登壇でより分かりやすくお伝えできるように日ごろから「どのように説明すると理解してもらいやすいか」「実際の運用に近いのか」を意識してインプット及びアウトプットをしていく事を心がけています。
今日はこの辺で。
Microsoft Teams にゲストユーザーを参加させる時の注意点
Microsoft Teams へのゲスト招待機能がどんどん拡張されてきました。
今回は実業務でハマりそうなライセンスの疑問点・解説をまとめます。
Microsoft Teams ゲストアクセスに関する今までの経緯
2017年9月:Microsoft Teams にゲストアクセスが追加されました
⇒ (要約)Microsoft Teams にゲスト参加機能追加(但し、O365 ユーザーのみ)
2018年2月:Collaborate securely with anyone in Microsoft Teams
⇒(要約) Microsoft Teams に O365 以外のユーザーもゲスト参加可能に。
ゲスト参加させるために自社テナントで用意すべきこと
① Microsoft Teams が利用可能な Office 365 テナント
現在、利用可能なプランは下記の通りです。(2018年3月15日時点)
② ゲスト招待する要件にあった Azure AD のエディションと数量を把握する
Microsoft Teams では Azure AD の各エディションライセンス × 5 名を招待する事が可能です。
( Azure AD B2B コラボレーション機能を利用する仕組みになっています)
例)
Azure AD Free 1 ライセンス⇒ Azure AD Free 同等の機能でゲストユーザーを 5 名まで招待可能
Azure AD Basic 2 ライセンス⇒ Azure AD Basic 同等の機能でゲストユーザーを 10 名まで招待可能
ポイントは、所持している Azure AD ライセンスのエディションと同等の機能をゲストユーザーへ付与することができる、という点です。
なので、ゲストに対しても本人かどうかをきちんと把握するために MFA (多要素認証) をかけたい、と言った要件が出てきた場合は想定するゲストユーザー分をまかなう Azure AD Premium P1 以上のライセンスが必要になってきます。
例)
Microsoft Teams に 参加予定のゲストユーザー 5,000 人に MFA を強制させる
⇒ Azure AD Premium P1 以上のライセンスが 100 本必要
【2018/6/18 追記】ゲストアクセスの概念には資本関係の有無が絡みます。
資本関係がない場合は、保有ライセンス*5までゲスト招待が可能
資本関係がある場合は、ゲスト招待分のライセンスが必要
本日のまとめ
・Microsoft Teams にゲスト招待をする場合、想定ゲスト数とセキュリティ要件の確認
・要件にあった Azure AD のエディションと数量があるかを確認
※検証した感じだとライセンス無くてもゲストアクセスの際に、保有しているライセンスに応じて決まっている数量以上の実現ができそうですが、ライセンス違反になるのでご注意ください
参照元:料金 - Active Directory | Microsoft Azure
Azure AD の条件付きアクセスに関する Q&A – Japan Azure Identity Support Blog
Microsoft Teams をセキュアに使う②IRMをかける
こんばんは。
Microsoft Teams の外部招待が Office 365 ユーザ以外でも可能になったりと日々アップデートが頻繁になってきました。
利便性が高まったことで現場でもより様々なシーンで利用しやすくなった印象です。
前回の続きで今回は Microsoft Teams に IRM (Infomation Right Management) をかけてセキュアに利用する方法の紹介です。
参考:Information Rights Managementとは?
本日のゴール
Teams に格納されるファイルに IRM をかける
手順サマリ
① SharePoint Online 管理センターからの IRM 機能をオンにする
② Microsoft Teams のサイトに対して IRM 機能をオンにし、設定を行う
実践
画面ショットで追いながら手順を見ていきましょう!
① SharePoint Online 管理センターからの IRM 機能をオンにする
② Microsoft Teams のサイトに対して IRM 機能をオンにし、設定を行う
まず Microsoft Teams の SPO サイトに飛びます。
( Microsoft Teams ファイルタブの SharePoint で開く、とクリックすると飛べます )
右上の歯車マークを押すと下記のような画面に飛びます。
ここで Infomation Right Management をクリック。
すると、このサイトにおける IRM の設定画面が表示されるので
ダウンロード時にこのライブラリの権限を制限する、のチェックボックスをクリック。
適宜、アクセスポリシー名と説明文を記入し、OKボタンで設定を完了させます。
手順はこれだけ。(あら簡単)
検証
本当に IRM がかかっているかを確認してみましょう。
Microsoft Teams から SharePoint Online 領域である「ファイル」にアクセスし格納しているドキュメントを開いてみます。
ちなみに Office Online ですと下記のような表記になりますので、 IRM がかかっている時はダウンロードして閲覧・編集するようにする必要があります。
無事、ダウンロードが完了すると下記のような画面になり IRM がかかっていることが確認できます。
黄色いラベルの権限の表示を押すと、設定の詳細も確認が可能です。
なお、この IRM の機能をオンにするには
・Office 365 E3 以上のライセンス
もしくは
・Azure Infomation Protection Plan1
が必要になりますのでご注意ください。
最後に
外部ユーザを招待した時にも IRM を使ってファイルの保護をかけておくことで
・閲覧は可能だが編集・印刷などは禁止する
・万が一、ファイルが漏洩しても権限がないとファイルを開かせない
といった設定を組むことも可能になります。
ぜひ自社のポリシーに合わせて検討してみてください。
Microsoft Teams をセキュアに使う①準備
Microsoft Teams をセキュアに使う
前回ご紹介した Microsoft Teams は Office 365 をベースとしたワークチャットスペースだとお伝えしました。
とても便利な機能なのですが、日本企業で必ずと言っていいほど懸念されるのが
「セキュリティって大丈夫なの?」
という事項です。
もちろん Office 365 なので Microsoft が多層にセキュリティ対策を取っている、とは言うものの企業のポリシーに合わせて使わせるといった部分では管理者側での工夫が必要です。
今回は Microsoft Teams をセキュアに使う為に 1 つ製品をご紹介します。
Enterprise Mobility + Security とは
Enterprise Mobility + Security(エンタープライズ モビリティ アンド セキュリティ、以下EMS)は Microsoft がリリースしているクラウドベースのセキュリティ製品パッケージの総称です。
2017年7月の Ignite で発表された Microsoft 365 にも含まれています。
簡易的にまとめると下記のような構成になっています。
余談ですが、EMS E3 には Windows Server CAL 、 Microsoft Intune には SCCM の利用権も含まれています。なので、 EMS は ID をベースにしたセキュリティ強化が可能と紹介されることも多いです。(これはまた別の機会に取り上げたいと思います)
Microsoft Teams と EMS を組み合わせる
Microsoft Teams をセキュアに使うために、本ブログではこの EMS を使って
・多要素認証の強制
・データの保護
の方法を少しずつご紹介していきたいと思います。
Teams ってどんなもの?
本日はそもそも Teams ってどんなものなのかをご紹介したいと思います。
Teams の特長
Teams は Office 365 を利用している方であればすぐに利用できるワークチャットスペースです。
よくLINE などと比較して紹介がされる事の多い Teams ですが
利用者視点では下記 3 つがポイントかと思います。
・スレッド形式のチャット機能
・デスクトップ、スマホ専用のアプリがある(ブラウザ閲覧も可)
・後から参加したメンバーも過去履歴が参照できる
Teams ではどんな機能が使えるのか
具体的な利用方法や画面などはいつか別の機会にするとして、どういった構成で作成がされるのかイメージ図をつくってみました。
Office 365 Groups を立ち上げる or Teams が作成されると
Teams アプリからは上記の機能ような機能が閲覧可能になります。
Groups に含まれる Planner はもちろん、ユーザーで利用可能な Office 365 の機能 Microsoft Flow と組み合わせる事も可能です。
最近では Office 365 以外のアプリ連携もあり、作成されたチームがユーザー主体で業務効率化をするアプリが豊富に揃えられています。
Teams をボンヤリ理解できたら
まずは使い始める事をオススメします。
実際に利用しないとわからないですからね。
次回(こそ)は EMS を使ったセキュアな Teams 設定をご紹介します。