外部PCのOffice365からのダウンロードを禁止する方法

2022.05.02

手順

手順1 
エンドポイントマネージャーより、条件付きアクセスのポリシー作成

1.Microsoft 365管理センターを開いて、「エンドポイントマネージャー」をクリックしてください。

2.「デバイス」を開いて「条件付きアクセス」をクリックします。

3.「新しいポリシー」をクリックして「新しいポリシーを作成する」をクリックします。

4.名前を入力してください。
次に割り当ての「ユーザーまたはワークロード」をクリックして、「対象」から「ユーザーとグループの選択」を選択し、「ユーザーとグループ」にチェックを入れます。ユーザーを指定して「選択」をクリックしてください。

5.「クラウドアプリまたは操作」をクリックして、「対象」から「アプリを選択」を選択します。選択の「なし」をクリックして、「Office365」にチェックを入れて「選択」をクリックしてください。

6.「条件」をクリックして、「場所」の「すべての場所」をクリックします。構成のスイッチを「はい」に切り替えて、「対象」の「すべての場所」を選択します。

7.「対象外」をクリックして、「選択された場所」を選択し、選択の「なし」をクリックして会社のグローバルIPにチェックを入れます。(会社のグローバルIPはネームドロケーションで設定できます。)
「選択」をクリックしてください。

8.アクセス制御の「セッション」をクリックします。「アプリの条件付きアクセス制御を使う」にチェックを入れ、「カスタムポリシーを使用する」を選択します。「選択」をクリックしてください。

9.ポリシーの有効化を「オン」にして「作成」をクリックしてください。

10.ポリシーが作成されるとこのように表示されます。

手順2 Microsoft Defender for Cloud Appsよりセッションポリシーの作成

1.Microsoft Defender for Cloud Appsに移って、歯車ボタンをクリックし、「アプリの条件付きアクセス制御」をクリックします。

2.「アプリの条件付きアクセス制御アプリ」にOffice365の関連アプリが表示されていることを確認します。

3.メニューバーから「制御」を開いて「ポリシー」をクリックします。

4.「ポリシーの作成」を展開して「セッションポリシー」を選択します。

5.「ポリシー名」を入力して、任意で「説明」を入力します。

6.「セッション制御の種類」から「ファイルダウンロードの制御」を選択します。「次のすべてに一致するアクティビティ」の「アプリの選択」を展開します。

7.「Office365」を選択します。

8.「アクション」から「ブロック」を選択します。
「ユーザーにメールでも通知する」にチェックを入れ、「ブロックメッセージのカスタマイズ」は任意で設定します。

9.「作成」をクリックします。

手順3 「ファイルのダウンロード制御」テスト

1.外部PCからOneDriveにアクセスをすると、このような画面が表示されます。
「Microsoft OneDrive for Businessを続行する」をクリックします。

2.ファイルを選択して「ダウンロード」をクリックします。

3.ダウンロードがブロックされ、先程作成したブロックメッセージが表示されます。

4.このようなメールも送信されます。

5.アラート通知を設定することもできます。
ポリシー作成画面下の「アラート」の「一致するイベントごとにポリシー重要度に応じたアラートを作成する」にチェックを入れます。「アラートをメールで送信」にチェックを入れ送信先のメールアドレスを入力してください。

6.このような通知メールが届きます。「インシデントレポート」をクリックします。

7.アラートの詳細ページが開きます。

手順4 「ファイルのアップロード制御」テスト

1.手順2の3から同様セッションポリシーを作成します。
ポリシー名と任意で説明を入力します。
「セッション制御の種類」から「ファイルのアップロード制御」を選択します。
「次のすべてに一致するアクティビティ」の「アプリの選択」を展開します。

2.「次のすべてに一致するアクティビティ」の「アプリの選択」を展開して「Office365」を選択します。

3.「アクション」から「ブロック」を選択します。
「ユーザーにメールでも通知する」にチェックを入れ、「ブロックメッセージのカスタマイズ」は任意で設定します。

4.「作成」をクリックしてください。

5.外部PCからOneDriveにアクセスをすると、このような画面が表示されます。「Microsoft OneDrive for Businessを続行する」をクリックします。

6.「アップロード」を展開して「ファイル」をクリックします。

7.アップロードがブロックされ、先程作成したブロックメッセージが表示されます。

8.このようなメールも送信されます。

手順5 「アクティビティ制御」テスト

1.手順2の3から同様セッションポリシーを作成します。
ポリシー名と任意で説明を入力します。
「セッション制御の種類」から「アクティビティ制御」を選択します。

2.「次のすべてに一致するアクティビティ」の「アプリの選択」を展開して「Office365」を選択します。

2.「次のすべてに一致するアクティビティ」の「アプリの選択」を展開して「Office365」を選択します。

3.「アクション」から「ブロック」を選択します。

「ユーザーにメールでも通知する」にチェックを入れ、「ブロックメッセージのカスタマイズ」は任意で設定します。

4.「作成」をクリックしてください。

5.外部PCからOneDriveにアクセスをすると、このような画面が表示されます。
「Microsoft OneDrive for Businessを続行する」をクリックします。

6.OneDriveにアクセスをして、ファイル内等の文章のコピーをします。

6.コピーがブロックされ、先程作成したブロックメッセージが表示されます。

7.このようなメールも送信されます。

手順6 「監視のみ」テスト

1.手順2の3から同様セッションポリシーを作成します。
ポリシー名と任意で説明を入力します。
「セッション制御の種類」から「監視のみ」を選択します。

2.「次のすべてに一致するアクティビティ」の「アプリの選択」を展開して「Office365」を選択します。

3.「作成」をクリックしてください。

4.OneDriveにアクセスします。監視のみに設定すると、セッションに関する制御やブロック、アラートを鳴らすことはできず、下記の画像が表示されることで監視されていることを確認できます。