【危険】『 条件付きアクセス 』がないと 誰でも Azure ポータルにログイン可能!?

2018年11月20日

最近、仕事がら Office365 の管理業務を通じて気づいたのですが、『 条件付きアクセス 』を設定していないと、いつのまにか Azure ポータルに誰でもアクセスできるようになっています。つまるところ、一般ユーザが Azure ポータルにログインすることで、AzureAD に登録された各種情報(他ユーザのメールアドレスなど)を自由に閲覧できる状態になっています…!

どうやって気づいたのか逆にツッコミたくなるところですが、気づいたユーザから問い合わせがあって少々驚いてしまいました…

 

Azure ポータルの仕様変更の罠!

MSは、TechNet上で次のように説明しています。「セキュリティ上好ましくない場合もあると思います」といった記述がありますが、正直なところ、この仕様変更を黙って許容できる組織はいないのでは!?と思わずにはいられません…

≪MSサイトより抜粋≫

クラシック ポータル (旧ポータルではログインする際に Azure のサブスクリプションを保持していることが前提となっていました。

一方 Azure ポータル (https://portal.azure.comには、サブスクリプションの有無によらず、ログインすることが可能です。この動作変更により、より多くのユーザーが簡単に Azure に対してアクセスできるようになっています。

Azure ポータルからは、そのログインしたユーザーが所属する Azure AD ディレクトリにアクセスすることができ、このとき Azure AD に対しての管理者権限を持たない一般ユーザーであっても、既定では Azure AD に登録されているユーザー一覧を参照できるようになっています。

ご利用状況によっては、このことがセキュリティ上好ましくない場合もあると思います。

 

 

 

Azure ポータルへのアクセス制限には『 条件付きアクセス 』が必須!?

まず、結論から申し上げますと、Azure ポータルに対する一般ユーザのログインを制限するためには『 条件付きアクセス 』が必要となります。そして、『 条件付きアクセス 』を活用するためには、制限対象とするユーザ数分だけ『 Azure AD Premium 』のライセンスが必要となます。

『 条件付きアクセス 』を対象ユーザに適用し、 Azure ポータルへのログインを遮断するための具体的な手順は次の通りです。

≪MSサイトより抜粋≫

  1. Azure ポータル (https://portal.azure.com) に管理者のアカウントでアクセスします。
  2. セキュリティの [条件付きアクセス] – [ポリシー] の順にクリックします。
  3. 上部 [+新しいポリシー] をクリックします。
  4. [名前] にポリシーの名前を入力します。
  5. ポリシーを割り当てるユーザーまたはグループを選択します。
    * この時、全ての管理者に割り当てないようにしてください。全ての管理者がポリシーの制限を受け、Azure にアクセスすることができなくなり、設定解除もできなくなるというお問い合わせを過去に複数いただいております。
  6. [クラウド アプリ] では 「アプリを選択」 にチェックを入れます。
  7. [選択] をクリックし、[Microsoft Azure Management] アプリケーションを検索し、選択します。
  8. [クラウド アプリ] のブレードに戻るので、[完了] をクリックします。
  9. [条件] – [場所] をクリックし、構成で [はい] を選択します。
  10. 対象 で「すべての場所」を選択します。
  11. Azure ポータルに戻って、[完了] を 2 回 クリックします。
  12. アクセス制御 の [許可] で「アクセスのブロック」を選択して、[選択] をクリックします。
  13. 即時ポリシーを有効化する場合には、ポリシーの有効化で [オン] を選択し、[作成] をクリックします。

 

手順自体は難しいものではありません。しかしながら、制限対象としたいユーザ数分のライセンスを購入することが難しいですよね…急に言われても…

 

AzureAD 条件付きアクセス

 

 

Premium ライセンスがない場合の最低限の対策(Azure AD へのアクセス制限)

ポータル内『Azure Active Directory』へのアクセス制限

Premium ライセンスを直ぐには用意できない場合、最低限、ポータル内にある『 Azure Active Directory 』へのアクセスは遮断しましょう。こうすることで、 Azure AD に登録された各種情報(他ユーザのメールアドレスなど)の閲覧を防止できます。

具体的な手順は次の通りです。

≪MSサイトより抜粋≫

  1. 全体管理者として Azure ポータル(http://portal.azure.com)にサインインします。
  2. 左側のメニューから [Azure Active Directory] をクリックします。
  3. 表示されたメニューから [ユーザーとグループ] をクリックします。
  4. 表示されたメニューから [ユーザー設定] をクリックします。
  5. 右側の下記の項目がございますので、[はい] を選択します。
    [管理ポータル] – [Azure AD 管理ポータルへのアクセスを制限する]
  6.  上にある [保存] をクリックします。

 

しかしながら、この対策だけでは不十分です。
何故ならば、この状態では、一般ユーザが PowerShell を実行することで各種情報を取得できてしまうからです。

 

Azure AD 用 PowerShell の実行制限(要注意事項あり)

PowerShell を通じた、一般ユーザによる各種情報の取得を禁止する手順は次の通りです。

≪MSサイトより抜粋≫

  1. PowerShell を開き、下記のコマンドで全体管理者で Azure AD に接続します。
      Connect-MsolService
  2. 下記コマンドで他のユーザー及びグループの情報を取得させないように設定します。
      Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled $false
  3. 下記コマンドで他のユーザー及びグループの情報を取得させないように設定されたか確認します。
      Get-MsolCompanyInformation | fl UsersPermissionToReadOtherUsersEnabled

 

offiec365-spam-block

 

 

 

最後に  ~ Office365には色んな罠が… ~

既にご存知の仕様もあるかと存じますが、私が知り得た『 Office365の危険な仕様 』を適宜掲載しております。

ご興味がある方は、是非、ご参考にしていただければと存じます。