基本認証サインイン プロンプトは、Microsoft 365 Appsでは既定でブロックされます
注:
この記事の情報は、Microsoft 365 管理センターで公開されたメッセージ センターの投稿MC454810、MC499030、MC649046に関連しています。
Wordや Excel などのアプリを使用すると、ユーザーは基本認証を使用して、各要求でユーザー名とパスワードを送信することで、Web サーバー上のリソースに接続できます。 多くの場合、これらの資格情報はサーバーに格納されるため、攻撃者はそれらをキャプチャし、他のエンドポイントやサービスに対して再利用しやすくなります。
基本認証は古い業界標準であり、多要素認証などのより堅牢なセキュリティ機能をサポートしていません。 その脅威は増加しただけであり、より優れた、より効果的なユーザー認証の代替手段があります。 たとえば、多要素認証、スマート カード、証明書ベースの認証をサポートする先進認証などです。
そのため、Microsoft 365 Appsのセキュリティを強化するために、基本認証からのサインイン プロンプトをブロックするように既定の動作を変更しています。
この変更により、ユーザーが Basic 認証のみを使用するサーバー上のファイルを開こうとすると、基本認証サインイン プロンプトは表示されません。 代わりに、セキュリティで保護されていない可能性のあるサインイン メソッドを使用するため、ファイルがブロックされたことを示すメッセージが表示されます。 このメッセージには、基本認証のセキュリティ リスクに関する情報を含む記事にユーザーを移動するリンクが含まれています。
注:
- Windows でホストされているファイル共有は、使用される認証方法が NTLM であるため、この変更の影響を受けません。
- SharePoint Online、OneDrive、およびオンプレミスの SharePoint Server (先進認証用に構成) は、この変更の影響を受けません。
- 基本認証用に構成されたオンプレミスの SharePoint Server は、この変更の影響を受けます。
この変更の影響を受けるMicrosoft 365 Appsのバージョン
この変更は、Windows を実行しているデバイスでのみ次のアプリに影響します。
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
注:
- この変更は、基本認証を使用してオンプレミスのExchange Serverに接続する Outlook には影響しません。
- この変更は、Outlook が Basic 認証を使用してExchange Onlineに接続する場合には影響しません。 Exchange Onlineを使用して基本認証を非推奨にする別の取り組みがあります。 詳細については、「Exchange Onlineでの基本認証の非推奨」を参照してください。
ロールアウトの一環として、基本認証を使用してファイルにアクセスしようとすると、ユーザーは最初に警告メッセージを受け取ります。 その警告期間が過ぎると、ユーザーはファイルを開くのをブロックされ、ソースが安全でない可能性のあるサインイン メソッドを使用していることを示すメッセージが表示されます。
次の表は、警告とブロックの変更が実装されている更新チャネルごとのバージョンを示しています。 斜体の情報は変更される場合があります。
更新プログラム チャネル | 警告バージョン | ブロッキング バージョン |
---|---|---|
最新機能提供チャネル (プレビュー) | バージョン 2303 |
バージョン 2311 (2023 年 11 月) |
最新チャネル | バージョン 2304 |
バージョン 2311 (2023 年 12 月) |
月次エンタープライズ チャネル | バージョン 2304 |
バージョン 2311 (2024 年 1 月 9 日) |
半期エンタープライズ チャネル (プレビュー) | バージョン 2308 |
バージョン 2402 (2024 年 3 月 12 日) |
半期エンタープライズ チャネル |
バージョン 2308 (2024 年 1 月 9 日) |
バージョン 2402 (2024 年 7 月 9 日) |
注:
- この変更は、Office 2021、Office 2019、Office 2016 の製品版にも影響します。 現在のチャネルと同じスケジュールです。
- この変更は、Office LTSC Professional Plus 2021や Office Standard 2019 など、ボリューム ライセンスバージョンの Office には影響しません。
基本認証プロンプトを表示するかどうかを決定する方法Microsoft 365 Apps
次のフローチャート図は、Microsoft 365 Appsサーバーが基本認証を使用している場合にファイルを開くかどうかを決定する方法を示しています。
次の手順では、フローチャート グラフィックの情報について説明します。
ユーザーは、Web サーバーに格納されているファイルを開こうとします。
サーバーが基本認証プロキシ認証を使用している場合、Microsoft 365 Appsはネットワーク プロキシからの基本認証を許可するプロンプトの状態を評価します。
- ポリシーが [有効] に設定されている場合、ファイルを開くユーザー名とパスワードの入力を求められます。
- それ以外の場合、ユーザーにはサインイン プロンプトが表示されないため、ファイルの開き方がブロックされます。 代わりに、セキュリティで保護されていない可能性のあるサインイン メソッドを使用するため、ファイルがブロックされたことを示すメッセージがユーザーに表示されます。
サーバーが基本認証を使用していない場合は、ファイルが開きます。 サーバーが基本認証を使用している場合は、基本認証プロンプトを許可するポリシーが存在するかどうかを確認Microsoft 365 Apps。
サーバーが Basic 認証を使用して直接認証を行う場合、Microsoft 365 Appsは、指定されたホストに Basic 認証プロンプトを Office アプリに表示することを許可するポリシーの状態を評価します。
- ポリシーが [有効] に設定されていて、サーバーが指定されている場合、ユーザー名とパスワードを入力してファイルを開くよう求められます。
- それ以外の場合、ユーザーにはサインイン プロンプトが表示されないため、ファイルの開き方がブロックされます。 代わりに、セキュリティで保護されていない可能性のあるサインイン メソッドを使用するため、ファイルがブロックされたことを示すメッセージがユーザーに表示されます。
ポリシーを使用して基本認証プロンプトを管理する
特定のホストまたはネットワーク プロキシから基本認証プロンプトを提供する必要がある場合は、次のポリシーを構成できます。
重要
- Basic 認証の使用はセキュリティで保護されていないため、特定のホストまたはネットワーク プロキシからの基本認証プロンプトを許可することはお勧めしません。
- ただし、これらのサーバーをより安全な認証方法に移行するときに、これらのプロンプトを一時的に指定する必要がある場合は、これらのポリシーを使用できます。
これらのポリシーは、グループ ポリシー管理コンソールの [ユーザーの構成]、[ポリシー]、[管理用テンプレート]、[Microsoft Office 2016\セキュリティ設定] の下にあります。
注:
- これらのポリシーを使用するには、Microsoft 365 Apps用の グループ ポリシー 管理用テンプレート ファイル (ADMX/ADML) のバージョン 5359.1000 以上を Microsoft ダウンロード センターからダウンロードします。 このバージョンは 2022 年 8 月 11 日にリリースされました。
- クラウド ポリシーを使用して、これらのポリシーを実装することもできます。 詳細については、「 Microsoft 365 向けクラウド ポリシー サービスの概要」を参照してください。
指定したホストに Office アプリへの基本認証プロンプトの表示を許可する
このポリシーを使用すると、Wordや Excel などのアプリに基本認証サインイン プロンプトを表示できるホストを指定できます。
次の表は、ポリシーの各状態で取得する保護のレベルを示しています。
アイコン | 保護レベル | ポリシーの状態 | 説明 |
---|---|---|---|
Protected | 有効な (ホストが指定されていない) |
ユーザーは、基本認証を使用する Web サーバー上のファイルを開くことができません。 | |
部分的に保護 | 有効な (ホスト指定) |
基本認証プロンプトは、指定されたホストからのみ許可されます。
複数のホストを指定する場合は、セミコロンで区切ります。 |
|
Protected | 無効 | ユーザーは、基本認証を使用する Web サーバー上のファイルを開くことができません。 | |
Protected [recommended] |
Not Configured | ユーザーは、基本認証を使用する Web サーバー上のファイルを開くことができません。 |
ネットワーク プロキシからの基本認証プロンプトを許可する
このポリシーは、ネットワーク プロキシが基本認証プロンプトを表示できるかどうかを制御します。
次の表は、ポリシーの各状態で取得する保護のレベルを示しています。
アイコン | 保護レベル | ポリシーの状態 | 説明 |
---|---|---|---|
Protected | 無効 | ネットワーク プロキシには、基本認証プロンプトは表示されません。 | |
保護されていません | 有効 | ネットワーク プロキシには、基本認証プロンプトが表示されます。 | |
保護済み [推奨] | Not Configured | ネットワーク プロキシには、基本認証プロンプトは表示されません。 |