Microsoft のオフィススイート「Microsoft Office」は古くからのメインストリームであり、Word は文書作成の、Excel は表計算の、PowerPoint はスライド作成のデファクトスタンダードとして広く使われています。また、「Microsoft Teams」はリモートワーク時のコミュニケーションのためのプラットフォームとして成長してきました。
オフィススイートは単なるツール以上に、業務における中心的な役割を果たしており、その進化と使いやすさが多くのユーザーに支持されている所以かと思います。

そのオフィススイートのサブスクリプション型クラウド製品である「Microsoft 365」(旧 Office 365)には、以下のような様々な課題があると言われています。

  • ライセンス
    プランの煩雑化/コストの増加
  • データ
    オンプレからクラウドへのデータ移行
  • サポート
    サポートデスクへの不満、ヘルプの使い難さ

本コラムでは、上記のような一般的な課題はオフィススイートの代理店様にお任せするとして、日々システム導入を行っている目線から「 認証製品の観点から Microsoft 365 の課題を考える 」と題してお話しします。

目次
  1. SAML連携の注意事項
  2. アカウントの制御
    1. 【考えられる対策1】 URLによるアクセス制御
    2. 【考えられる対策2】 代行入力方式による認証連携
  3. 最後に

SAML連携の注意事項

本サイトでは、SAML について「SAML 2.0とは?」で紹介しましたが、Microsoft 365 はクラウドサービスですので、認証製品からのアプローチとして、SAML 連携設定が真っ先に挙がります。
Microsoft 365 との SAML 連携が可能な認証製品は多数あるかと思います。

Microsoft 365 をサービスプロバイダー(SP)として IDプロバイダー(IdP)となる認証製品と SAML 連携する場合、Microsoft 365 のユーザーのプロビジョニング(新規作成/変更/削除)は、IdP に委ねられる、という SAML 連携時の注意事項があります。
これは、クラウドサービスによっても仕様が異なるところではあると思います。

SAML 連携が設定されている環境においては、Microsoft 365 の管理画面ではユーザーのプロビジョニングができなくなりますので、この注意事項を認識した上で SAML 連携設定の導入可否を判断する必要があります。

ご参考情報となりますが、弊社のクラウド認証サービス「EVECLOUD」は、Microsoft 365 との SAML 連携、および、ユーザーのプロビジョニングに対応しております。

アカウントの制御

Microsoft 365 はクラウドサービスであるため、ウェブのユーザー認証の画面において、組織で使用するアカウント(職場または学校のアカウント)が利用可能であることはもちろんのこと、プライベートで使用するアカウント(個人のアカウント)がある場合においても利用が可能です。これは、Microsoft 365 に限らず、クラウドサービスであれば発生しうる課題といえます。

業務上の運用ルールにおいて “個人のアカウントは利用禁止” とすることで、一定の抑止力にはなりますが、完全に利用を禁止することは非常に難しいと思います。
個人のアカウントの利用は、データ漏えいなどセキュリティ上のリスクが懸念されます。

この、個人アカウントの利用を禁止する対策として、以下のものが考えられます。

【考えられる対策1】 URLによるアクセス制御

「職場または学校のアカウント」と「個人のアカウント」では、Microsoft 365 のテナントが異なります。
※ テナントとは:システムやサービスのユーザー契約単位。シングルテナントとマルチテナントの2種類がある。

テナントが異なると、アクセスする中での URL が異なっていきますので、「職場または学校のアカウント」のテナントの URL はアクセス許可し、それ以外の Microsoft 365 のテナントの URL はアクセス禁止する、というように、アクセス制御ができれば、利用するアカウントの制御ができる可能性があります。

【考えられる対策2】 代行入力方式による認証連携

弊社の EVECLOUD では、代行入力を行う「IDマネージャー」というアプリケーション連携機能を持っています。
※ 代行入力による認証とは:PCにエージェントをインストールした後、常駐したエージェントが、SSO対象システムのログイン画面を監視する。アプリケーションのログイン画面が起動したら、そのエージェントがパスワード情報を自動送信する仕組み。

これを利用すると、Microsoft 365 のユーザー認証の画面において、認証したユーザーに紐づく「職場または学校のアカウント」が自動的に入力されて、Microsoft 365 のログイン認証を完了する、というような連携が可能になります。
アカウントを自動入力するこの制御により、個人のアカウントを入力できなくする、という対策が可能となります。

EVECLOUDの特徴 https://www.dds-evecloud.com/features-evecloud/

最後に

Microsoft 365 を含め、現在利用中のオンプレミス製品のサポート期限に合わせてクラウド化を検討しているなど、業務アプリのクラウド製品への移行が進んできているというお話をよく耳にします。

Microsoft Office については、現在様々な企業で利用されており、Microsoft 365 への移行がスムーズに進まない企業もあるかと思います。また、Microsoft 社 からは引き続きオンプレミス製品の新バージョン「Microsoft Office 2024」*1 が発表されており、クラウドへの移行を強制するようなことはなかなかないのだろうとは思われます。

しかしながら、オフィススイートに限らず、様々な製品が今後もクラウド化されていくことも考えられるため、あらかじめ認証についても検討いただければと思います。

参考
*1 https://pc.watch.impress.co.jp/docs/news/1577033.html

 

※記載の製品名は、各社の商標または登録商標です。