株式会社ソフトクリエイト 戦略ビジネス部 情報屋の山口です。
Microsoft 365 Web アプリの利用について、セッションタイムアウト時間の設定または、永続アクセスを設定する。
Microsoft 365 の Web ブラウザー利用について、指定期間経過時に、セッションアウトして、ユーザー認証を要求する機能が追加されました。
Web アプリへのセッションを保持した状態でのアクセスは、利用者側としては便利な機能ではあるのですが、このセッションの発行や管理に問題があると、悪意のあるユーザーに利用者のセッション情報を不正に取得され、Web サービスにユーザーになりすましてのアクセスに利用されてしまう可能性があります。
この悪意のある行為について、指定期間経過後に、セッションを強制的に切断して、ユーザー認証を要求することで対策を図るのが今回の設定になります。
なお、Azure AD 参加時などについては、Windows へのサインイン時に、トークンが交換されるので、SSO 動作でそのまま Web アプリにアクセスできます。
サインイン頻度の変更方法
1.Microsoft 365 Business Standard や Office 365 E3 ライセンス等の場合
①Microsoft 365 管理センターに全体管理者権限を持つユーザーでアクセスします。
②「設定」-「セキュリティとプライバシー」-「アイドルセッションのタイムアウト」を選択します。
-1.png)
③「オンにして、操作のない状態が続くとユーザーが Office Web アプリからサインオフされることになる時間を設定します」にチェックを入れ、1時間~24時間の間で時間を指定します。
※カスタムの場合でも、最大1440分 = 24時間
-2.png)
参考: Microsoft 365 のアイドル セッション タイムアウト - Microsoft 365 admin | Microsoft Learn
2.Microsoft 365 Business Premium や Microsoft 365 E3/E5 ライセンス等の Azure AD P1 以上のライセンスを含むプランの場合
①エンドポイントマネージャーにアクセスし、エンドポイントセキュリティの「条件付きアクセス」で、ポリシーを新規作成するか、既存のポリシーを開きます。
②アクセス制御の「セッション」を開き、「サインイン頻度」または、「永続的なブラウザーセッション」を選択し、保存します。
※「サインイン頻度」の選択時は、指定の時間または期間、毎回、の中から、認証要求を発生するタイミングを指定します。
-3.png)
参考: 認証セッション管理の構成 - Azure Active Directory - Microsoft Entra | Microsoft Learn
実際の動作
" サインイン頻度の変更方法 "のどちらかで設定した期間、Web ブラウザー上での操作が行われない場合に、Azure AD の制御で、強制的に、セッションを切断し、ユーザーに認証要求を発生させます。この際、認証画面のメッセージとして、「組織のポリシーでは、一定期間後にもう一度サインインする必要があります。」といった表記で、設定したポリシー上の動作である旨が表現されます。
-4.png)
なお、デスクトップ版 Office のライセンス認証については、30日間に1度は、インターネットに接続できる状況で利用しないと、読み取りモードに切り替わる仕様になりますので、あわせて覚えおいてください。
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
