次の方法で共有

Microsoft 365 Apps では、基本認証サインイン プロンプトが既定でブロックされます

  • [アーティクル]

注:

この記事の情報は、 Microsoft 365 管理センターで公開されたメッセージ センターの投稿MC454810、MC499030、MC649046に関連しています。

Word や Excel などのアプリを使用すると、ユーザーは基本認証を使用して、各要求でユーザー名とパスワードを送信することで、Web サーバー上のリソースに接続できます。 多くの場合、これらの資格情報はサーバーに格納されるため、攻撃者はそれらをキャプチャし、他のエンドポイントやサービスに対して再利用しやすくなります。

基本認証は古い業界標準であり、多要素認証などのより堅牢なセキュリティ機能をサポートしていません。 その脅威は増加しただけであり、より優れた、より効果的なユーザー認証の代替手段があります。 たとえば、多要素認証、スマート カード、証明書ベースの認証をサポートする先進認証などです。

そのため、Microsoft 365 Apps のセキュリティを強化するために、既定の動作を変更して、基本認証からのサインイン プロンプトをブロックします。

この変更により、ユーザーが Basic 認証のみを使用するサーバー上のファイルを開こうとすると、基本認証サインイン プロンプトは表示されません。 代わりに、セキュリティで保護されていない可能性のあるサインイン メソッドを使用するため、ファイルがブロックされたことを示すメッセージが表示されます。 このメッセージには、基本認証のセキュリティ リスクに関する情報を含む記事にユーザーを移動するリンクが含まれています。

注:

  • Windows でホストされているファイル共有は、使用される認証方法が NTLM であるため、この変更の影響を受けません。
  • SharePoint Online、OneDrive、およびオンプレミスの SharePoint Server (先進認証用に構成) は、この変更の影響を受けません。
  • 基本認証用に構成されたオンプレミスの SharePoint Server は、この変更の影響を受けます。

この変更の影響を受ける Microsoft 365 アプリのバージョン

この変更は、Windows を実行しているデバイスでのみ次のアプリに影響します。

  • Access
  • Excel
  • OneNote
  • Outlook
  • PowerPoint
  • Project
  • Publisher
  • Visio
  • Word

注:

  • この変更は、基本認証を使用してオンプレミスの Exchange Server に接続する Outlook には影響しません。
  • この変更は、基本的な認証を使用して Exchange Online に接続する Outlook には影響しません。 Exchange Online での基本認証を非推奨にする別の取り組みがあります。 詳細については、「 Exchange Online での基本認証の非推奨」を参照してください。

ロールアウトの一環として、基本認証を使用してファイルにアクセスしようとすると、ユーザーは最初に警告メッセージを受け取ります。 その警告期間が過ぎると、ユーザーはファイルを開くのをブロックされ、ソースが安全でない可能性のあるサインイン メソッドを使用していることを示すメッセージが表示されます。

次の表は、警告とブロックの変更が実装されている更新チャネルごとのバージョンを示しています。 斜体の情報は変更される場合があります。

更新プログラム チャネル 警告バージョン ブロッキング バージョン
最新機能提供チャネル (プレビュー) バージョン 2303 バージョン 2311
(2023 年 11 月)
最新チャネル バージョン 2304 バージョン 2311
(2023 年 12 月)
月次エンタープライズ チャネル バージョン 2304 バージョン 2311
(2024 年 1 月 9 日)
半期エンタープライズ チャネル (プレビュー) バージョン 2308 バージョン 2402
(2024 年 3 月 12 日)
半期エンタープライズ チャネル バージョン 2308
(2024 年 1 月 9 日)		 バージョン 2402
(2024 年 7 月 9 日)

注:

  • この変更は、Office 2021、Office 2019、Office 2016 の製品版にも影響します。 現在のチャネルと同じスケジュールです。
  • この変更は、Office LTSC Professional Plus 2021 や Office Standard 2019 などの Office のボリューム ライセンスバージョンには影響しません。

Microsoft 365 Apps で基本認証プロンプトを表示するかどうかを決定する方法

次のフローチャート図は、サーバーが基本認証を使用している場合にファイルを開くかどうかを Microsoft 365 Apps が判断する方法を示しています。

Basic Auth 接続を使用してファイルにアクセスするための手順と条件 (アクセスをブロックまたは許可する条件など) を示すフローチャートのスクリーンショット。

次の手順では、フローチャート グラフィックの情報について説明します。

  1. ユーザーは、Web サーバーに格納されているファイルを開こうとします。

  2. サーバーが基本認証プロキシ認証を使用している場合、Microsoft 365 Apps は ネットワーク プロキシからの基本認証を許可するプロンプト の状態を評価します。

    • ポリシーが [有効] に設定されている場合、ファイルを開くユーザー名とパスワードの入力を求められます。
    • それ以外の場合、ユーザーにはサインイン プロンプトが表示されないため、ファイルの開き方がブロックされます。 代わりに、セキュリティで保護されていない可能性のあるサインイン メソッドを使用するため、ファイルがブロックされたことを示すメッセージがユーザーに表示されます。

  3. サーバーが基本認証を使用していない場合は、ファイルが開きます。 サーバーが基本認証を使用している場合、Microsoft 365 Apps は基本認証プロンプトを許可するポリシーが存在するかどうかを確認します。

  4. サーバーが Basic 認証で直接認証されている場合、Microsoft 365 Apps は、 指定されたホストに Basic 認証プロンプトを Office アプリに表示することを許可 するポリシーの状態を評価します。

    • ポリシーが [有効] に設定されていて、サーバーが指定されている場合、ユーザー名とパスワードを入力してファイルを開くよう求められます。
    • それ以外の場合、ユーザーにはサインイン プロンプトが表示されないため、ファイルの開き方がブロックされます。 代わりに、セキュリティで保護されていない可能性のあるサインイン メソッドを使用するため、ファイルがブロックされたことを示すメッセージがユーザーに表示されます。

ポリシーを使用して基本認証プロンプトを管理する

特定のホストまたはネットワーク プロキシから基本認証プロンプトを提供する必要がある場合は、次のポリシーを構成できます。

重要

  • Basic 認証の使用はセキュリティで保護されていないため、特定のホストまたはネットワーク プロキシからの基本認証プロンプトを許可することはお勧めしません。
  • ただし、これらのサーバーをより安全な認証方法に移行するときに、これらのプロンプトを一時的に指定する必要がある場合は、これらのポリシーを使用できます。

これらのポリシーは、グループ ポリシー管理コンソールの [ユーザーの構成]、[ポリシー]、[管理用テンプレート]、[Microsoft Office 2016\セキュリティ設定] の下にあります。

注:

指定したホストに Office アプリへの基本認証プロンプトの表示を許可する

このポリシーを使用すると、Word や Excel などのアプリに基本認証サインイン プロンプトを表示できるホストを指定できます。

次の表は、ポリシーの各状態で取得する保護のレベルを示しています。

アイコン 保護レベル ポリシーの状態 説明
コンテンツが完全に保護されていることを示すチェックマークが付いた緑色のアイコンのスクリーンショット。 Protected 有効な
(ホストが指定されていない)		 ユーザーは、基本認証を使用する Web サーバー上のファイルを開くことができません。
コンテンツが部分的に保護されていることを示すチェックマークが付いたオレンジ色のアイコンのスクリーンショット。 部分的に保護 有効な
(ホスト指定)		 基本認証プロンプトは、指定されたホストからのみ許可されます。

複数のホストを指定する場合は、セミコロンで区切ります。
コンテンツが完全に保護されていることを示すチェックマークが付いた緑色のアイコンのスクリーンショット。 Protected 無効 ユーザーは、基本認証を使用する Web サーバー上のファイルを開くことができません。
コンテンツが完全に保護されていることを示すチェックマークが付いた緑色のアイコンのスクリーンショット。 Protected
[recommended]		 Not Configured ユーザーは、基本認証を使用する Web サーバー上のファイルを開くことができません。

ネットワーク プロキシからの基本認証プロンプトを許可する

このポリシーは、ネットワーク プロキシが基本認証プロンプトを表示できるかどうかを制御します。

次の表は、ポリシーの各状態で取得する保護のレベルを示しています。

アイコン 保護レベル ポリシーの状態 説明
コンテンツが完全に保護されていることを示すチェックマークが付いた緑色のアイコンのスクリーンショット。 Protected 無効 ネットワーク プロキシには、基本認証プロンプトは表示されません。
コンテンツが保護されていないことを示す 保護されていません 有効 ネットワーク プロキシには、基本認証プロンプトが表示されます。
コンテンツが完全に保護されていることを示すチェックマークが付いた緑色のアイコンのスクリーンショット。 保護済み [推奨] Not Configured ネットワーク プロキシには、基本認証プロンプトは表示されません。