トップ > 条件付きアクセス > 条件付きアクセスを活用した Exchange(OWA) のダウンロード制御

条件付きアクセスを活用した Exchange(OWA) のダウンロード制御

条件付きアクセス Azure AD Microsoft Entra ID Exchange Online

以前、条件付きアクセスを活用したSharePointでのファイルのダウンロード制御について概要と設定方法を解説しました。

blog.jbs.co.jp

SharePointやOneDrive、Teamsに対しても制御がかかる形となりますが、本記事に記載した手順を実施することで、Exchange Onlineでも制御が可能です。

本記事では、Exchange Online でのファイルのダウンロード制御の概要と設定方法についてわかりやすく解説します。

ダウンロード制御とは?

Microsoft Entra ID における条件付きアクセスを利用して、特定の条件下ではファイルのダウンロードを禁止する/制限する機能です。

「ファイルの閲覧は許可するがダウンロードはブロックする」といった柔軟な制御が可能です。

Exchangeでは、PowerShellを利用してメールボックスの条件付きアクセス設定を変更することで制御が可能となります。

注意事項

すべてのデバイスが制御対象となるわけではなく、実際に制御が適用されるのは以下のデバイスです。

  • アンマネージドデバイス(個人所有のデバイス、非準拠デバイス)からのアクセス
  • アンマネージドデバイスのOSについては特段制限はない
  • Outlook Web Access (OWA) 上での制御は可能だが、Outlookクライアントでは制御をかけることができない

※Microsoft Entra ハイブリッド参加、Intune準拠している端末には上記制御はかかりません*1*2
※条件付きアクセスによる制御は基本的にブラウザーでの制御になるため、アプリに対してダウンロード制御することはできません*3

PowerShell設定手順

以下の手順を実施することで、アンマネージドデバイス(管理されていない端末)から Exchange(OWA) 上のファイルに対するダウンロード制御を適用することができます。

1. PowerShellを管理者で起動し、以下コマンドを実施してグローバル管理者でアクセスします。

Connect-ExchangeOnline

2. 以下コマンドを実行し、OWAのメールボックスポリシーの状態を確認します。

Get-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" | Format-List Name,ConditionalAccessPolicy

 Name:ConditionalAccessPolicy

 OwaMailboxPolicy-Default:Off 

3. 以下コマンドを実行し、OWAのメールボックスポリシーの設定を変更します。

Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

4. 以下コマンドを実行し、OWAのメールボックスポリシーの状態が切り替わっていることを確認します。

Get-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" | Format-List Name,ConditionalAccessPolicy

  • Name:ConditionalAccessPolicy
  • OwaMailboxPolicy-Default:ReadOnly

条件付きアクセス設定手順

上記手順のみではExchange Online への制御がかからないため、Entra管理センターにて条件付きアクセスポリシーを作成する必要があります。

以下にExchange Online (OWA) でのダウンロード制御を実現するポリシーの作成方法を記載します。

1. Entra管理センターにて、[条件付きアクセス] > [ポリシー] へアクセスし、[新しいポリシー] をクリックします。

2. 一例として以下項目を参考にExchange Online (OWA) でのダウンロード制御を実装するポリシーを作成します。

  • タイトル:ExOダウンロード制御用
  • ユーザー:すべてのユーザー
  • ターゲットリソース:Office 365 Exchange Online
  • ネットワーク:すべての信頼できるネットワークと場所
  • セッション:アプリによって適用される制限を使用する

3. 設定値に誤りがないことを確認し、[ポリシーの有効化] を [オン] に変更して[作成] をクリックします。

ポリシーの内容

作成/有効化したポリシーの内容を以下に記載します。

ExOダウンロード制御用

  • アンマネージドデバイスからWeb版のExchange Online (OWA) へアクセスした場合に制御がかかる
  • ファイルの閲覧は可能だが、ダウンロードと印刷が不可となる

※ポリシー内の設定における以下項目がダウンロード制御を実現する項目となります。

  • アプリによって適用される制限を使用する

設定後の動作

実際にユーザー視点でどのような制御が適用されるかについて以下に記載します。

1. 以下URLよりMicrosoft 365 ポータルへサインインし、[アプリ] をクリックします。

https://login.microsoftonline.com/

2. 対象のアプリをクリックします。

※今回はOutlook (OWA) で確認

3. ファイルが添付されたメールを確認し、以下の赤枠部分のようにファイルのダウンロードに対して制限がかかっている旨のメッセージが表示されます。

4. ファイルを選択すると通常表示される[ダウンロード]ボタンが表示されないことを確認します。

5. 添付されたファイルを開いても保存できないように赤枠のメッセージが表示されることを確認します。

(例としてExcelファイルを使用)

まとめ

  • PowerShellでExchange Online (OWA) のメールボックスポリシー変更後にEntra管理センターから対象の条件付きアクセスを設定することで、条件付きアクセスポリシーを活用した「ダウンロード制御」が可能となる
  • ファイルの閲覧自体は可能だが、OWAのみが制御対象となりOutlookアプリでの制御は対象外となる
  • アンマネージドデバイス(個人所有のデバイス、非準拠デバイス)が制御対象となる
  • マネージドデバイス(Microsoft Entra ハイブリッド参加もしくはIntune準拠している端末)に対しては本機能での制御をかけることができない

*1:Microsoft Entra ハイブリッド参加、Intune準拠している端末には上記制御はかかりません

*2:上記ポリシーに該当していてもメッセージが表示されずにファイルのダウンロードを実施することが可能です。

*3:条件付きアクセスによる制御は基本的にブラウザーでの制御になるため、アプリに対してダウンロード制御することはできません

執筆担当者プロフィール
鍋田 航

鍋田 航(日本ビジネスシステムズ株式会社)

MW2部所属。Entra ID Connect や Entra ID 等の認証領域の設計・導入に携わっております。趣味:キャンプ、釣り、ラグビー観戦など。

担当記事一覧