こんにちは!市川です!
従業員が業務用ブラウザにアカウントの制限なく自由にサインインできる状態は、業務データの漏洩やマルウェア感染など、重大なセキュリティリスクにつながります。
実際に、個人用アカウントとの同期によって保存されたID・パスワードやCookieなどが盗まれる
”情報搾取型マルウェア”の事例も多く報告されています。
この記事では、「Microsoft Edge で会社指定ドメイン以外のサインインを禁止する方法」をご紹介します。
これにより、従業員は指定されたドメイン(例:abcompany.com)のアカウントでのみサインインできるようになり、他のアカウントは自動的にログアウトされるため、個人アカウントによる同期や不正なデータ持ち出しを防ぐことができます。
ぜひご参考ください!
・ログインアカウントの制限なしの場合
・ログインアカウントを制限している場合
目次
1.設定方法
1.Microsoft Intune 管理センターを開き、「デバイス」をクリックします。
2.「デバイスの管理」のタブより「構成」をクリックします。
3.「作成」をクリックし「新しいポリシー」を選択します。
4.プラットフォームより「Windows 10 以降」、プロファイルの種類より「テンプレート」を選択します。
5.「管理用テンプレート」を選択し「作成」をクリックします。
6.ポリシー名を入力し「次へ」をクリックします。
7.「コンピューターの構成」より「Microsoft Edge」を選択します。
8.検索バーに「サインイン」と入力し、「Microsoft Edgeにサインインするために使用できるアカウントを制限します」の項目をクリックします。
9.この設定項目にて、サインインを許可するドメインを指定します。「有効」を選択します。
10.「Microsoft Edge プライマリ アカウントとして使用できるアカウントを制限する」の項目に、指定ドメインを下記の形式で入力します。
^.*@y-jk\.co\.jp$
※ドメインの指定は、”正規表現”にて入力する必要があります。
11.「OK」をクリックします。
12.「次へ」をクリックします。
13.「次へ」をクリックします。
14.「グループを追加」をクリックします。
15.割り当てるグループにチェックを入れ、「選択」をクリックします。
16.「次へ」をクリックします。
17.「作成」をクリックします。
18.ポリシーが正常に作成されました。
2.設定後の挙動
<設定前>
設定前は、アカウントの制限なく自由にサインインできる状態でした。
1.今回は挙動の変化を確認するために、以下3パターンにてサインインしています。
・個人アカウント(@gmail.com)
・別ドメインの会社アカウント(@yjk365.jp)
・指定ドメインの会社アカウント(@y-jk.co.jp)
2.個人アカウント(@gmail.com)でも問題なくログイン可能/同期も有効
3.同期設定も問題なく操作することができます。
4.別ドメインの会社アカウント(@yjk365.jp)でも問題なくログイン可能/同期も有効
<設定後>
設定を適用した場合どのように変化するのか、ブラウザのサインイン状況を確認していきます。
[個人アカウント]
1.一見、見た目の変化はありません。サインインしている「個人アカウント」をクリックします。
2.プロファイルを確認すると、アカウントが自動的にサインアウトされていることがわかります。
3.設定を確認すると、個人アカウント(@gmail.com)はサインアウトされているため「同期」の項目もグレーアウトされています。
4.「サインインしてデータを同期」をクリックすると、「システム管理者から ~@gmail.com のサインイン アクセス許可が付与されていません」と表示され、サインインがブロックされていることが確認できました。
[別ドメインの会社アカウント]
1.「別ドメインの会社アカウント」をクリックし、サインイン状態を確認します。
2.個人アカウントの時と同様に、アカウントが自動的にサインアウトされていることがわかります。
3.別ドメイン(@yjk365.jp)のため、サインインはブロックされました。
[指定ドメインの会社アカウント]
1.指定ドメイン(@y-jk.co.jp)は、設定前と変わらずサインイン状態が保持されています。
2.設定を確認すると、サインインは保持されたまま「同期」の項目も変わりありません。
その他お困りごとも動画で解説!
