SharePoint 2013 のモバイル セキュリティと認証
適用対象:
2016 2019 Subscription Edition SharePoint in Microsoft 365
この記事では、モバイル デバイスでの SharePoint Server 2013 へのアクセスと SharePoint 内の特定のデータへのアクセスが侵害されないようにするためのセキュリティ ガイダンスと推奨事項について説明します。 また、選択されたデバイスに対してサポートされる認証の種類と、SharePoint Newsfeed アプリ特有の認証について詳しく説明します。
モバイル デバイスのセキュリティ
このセクションでは、企業ネットワークの外部でモバイル デバイスを使用する場合のセキュリティ上の推奨事項について説明します。 デバイスを失くしたり盗まれたりした場合、さまざまなレベルで組織に壊滅的な影響が与えられる可能性があります。 そのような場合に、デバイスが悪用されないように必要な対策を講じる必要があります。
セキュリティに関する一般的な考慮事項を以下に示します。
モバイル デバイスには、機密データやドキュメントが含まれることがあります。 モバイル デバイスは失くしたり、盗まれたりすることがあるため、機密データおよびドキュメントの保護に関するモバイル デバイスのポリシーを設定することをお勧めします。 これには、PIN やロックを使用してモバイル デバイスを保護すること、モバイル デバイス上のデータをリモートでワイプできるようにすることなどがあります。 使用可能なプログラムや機能は、モバイル デバイスによって異なります。 このようなポリシーを組織に適用するための考えられる方法については、この記事で後述する「Exchange ActiveSync」を参照してください。
各ユーザーの資格情報の保護に役立つ方法をユーザーに教育することができます。 これには、完了時にサイトからサインアウトすること、サインインを維持するオプションやパスワードを記憶するオプションを有効にしないこと、モバイル ブラウザー内の Cookie を頻繁に削除することなどがあります。 このような対策を行うことで、モバイル デバイスを失くした場合や盗まれた場合に、他人がユーザーの資格情報を使って SharePoint サイトにログオンすることを防ぐことができます。
SSL を有効にして、モバイル ブラウザーと SharePoint Server 2013 を実行するコンピューターとの間の通信のセキュリティを保護することをお勧めします。 Forefront Unified Access Gateway (UAG) など、リバース プロキシ サーバーを使用して通信のセキュリティを保護する方法については、Forefront テクニカル ライブラリの「Forefront Unified Access Gateway (UAG)」をご覧ください。
Exchange ActiveSync
Microsoft Exchange ActiveSync は、電子メール メッセージ、スケジュール データ、連絡先、およびタスクへの、無線によるモバイル アクセスを可能にする通信プロトコルです。 Exchange ActiveSync は、Windows Phone で使用できるほかに、Apple iPhone など、Exchange ActiveSync が有効にされているサードパーティ製の電話およびスレートで使用できます。 組織で Exchange ActiveSync を実装するメリットの 1 つは、デバイス側のセキュリティと、ポリシーを適用した管理です。 SharePoint Server 2013をエクストラネット トポロジで展開した場合、モバイル デバイスは、SharePoint Server 2013を実行するコンピューターに公開 URL 経由でアクセスします。 モバイル デバイスを失ったり盗まれたりした場合、SharePoint データが漏洩しないようにする必要があります。 たとえば、Exchange ActiveSync を使用すると、デバイスのデータ コンテンツ (SharePoint 構成など) をリモートでワイプしたり、ロック画面に複雑なパスワードを適用して、許可のないアクセスを防止したりできます。
以下の表に、一部のデバイスに適用できる Exchange ActiveSync の機能およびポリシーを示します。
表: モバイル デバイス向けの Exchange ActiveSync ポリシー
| Exchange ActiveSync ポリシー | 説明 |
|---|---|
| リモート ワイプ (これは機能です。Exchange ActiveSync ポリシーではありません) | 携帯電話を失くしたり盗まれたりした場合や、携帯電話が侵害された場合、Outlook Web App を使用して、リモート ワイプ コマンドを Exchange コンピューターまたは任意の Web ブラウザーから発行できます。 このコマンドは、デバイスを工場出荷時の既定の設定に復元します。 重要: リモート デバイスワイプが発生した後、データ復旧は非常に困難になります。 ただし、データ削除プロセスは、デバイスを新しく使用するときのように、デバイスを残余データがない状態にするものではありません。 高度なツールを使用することで、デバイスからデータを復元できる可能性があります。 |
| デバイスにパスワードを強制する (DevicePasswordEnabled) | この設定を使用すると、携帯電話のパスワードが有効になります。 |
| 最小パスワード長 (MinDevicePasswordLength) | このオプションでは、携帯電話のパスワードの長さを指定します。 既定の長さは 4 文字ですが、18 文字まで含めることができます。 |
| 英数字のパスワードが必要 (AlphanumericDevicePasswordRequired) | この設定を使用すると、数字と、数字以外の文字をパスワードに含める必要があります。 |
| 簡易パスワードを許可する (AllowSimpleDevicePassword) | この設定は、簡易パスワード (1234 など) の使用を有効または無効にします。 |
| ロックまでの最大無入力時間 (MaxInactivityTimeDeviceLock) | 携帯電話の無通信状態が、このオプションに指定された時間継続すると、ユーザーは携帯電話のロックを解除するためのパスワードを要求されます。 |
重要
使用できる Exchange ActiveSync ポリシーは、デバイスごとに異なる場合があります。 Windows Phone、Apple iPhone など、特定のデバイス プラットフォームでサポートされるポリシーの詳細については、「Exchange ActiveSync」をご覧ください。
失くしたデバイスを探す
デバイスが紛失または盗難された場合、そのデバイスの場所を見つけ、必要に応じてすべてのデータ コンテンツをワイプできると便利な場合があります。 この機能を提供できるさまざまなサード パーティのサービスとソリューションがあります。 たとえば、Windows Phone Find My Phone サービスを使用すると、モバイル デバイスの場所を特定して簡単に回復したり、ユーザーの同意なしにモバイル デバイスを使用できないようにしたりできます。
このサービスで提供できる機能は以下のとおりです。
モバイル デバイスの場所を特定します。
モバイル デバイスの呼び出し音を鳴らします。
モバイル デバイスをロックしてメッセージを表示します。
モバイル デバイスのデータをワイプします。
注:
Windows Phone の「電話を探す」サービスの詳細については、「なくした電話の探索」を参照してください。
モバイル デバイスの認証
SharePoint Server 2013は、複数の認証方法と認証モードをサポートしています。 モバイル ブラウザーとデバイスによっては、使用できない認証方法があります。 モバイル デバイス アクセスを計画するときは、以下を行う必要があります。
サポートする必要のあるモバイル デバイスを確認します。 次に、そのモバイル デバイスでサポートされる認証方法を確認します。 この情報は製造元によって異なります。
モバイル デバイス ユーザーに対して利用可能にするサイトを決定します。
モバイル デバイスを企業ファイアウォールの外部から使用する場合にモバイル デバイスで SharePoint サイトを使用できるようにするかどうかを決定します。 使用できるようにする場合は、外部アクセスを有効にする方法が、モバイル デバイスの認証に影響することもあります。
次の表では、ブラウザー、OneDrive、および SharePoint Server 2013 の Office Hub Windows Phone エクスペリエンスでサポートされる認証の種類について詳しく説明します。 以下では、OrgID は Microsoft 365 の ID プロバイダーである Microsoft Online Services ID を指します。 また、MSOFBA は Microsoft Office のフォーム ベース認証を示しています。
表: SharePoint ブラウザーのモバイル認証サポート
| SharePoint インフラストラクチャ | モバイル デバイス | |||||||
|---|---|---|---|---|---|---|---|---|
| 認証の種類 | 認証プロトコル | ID プロバイダー | SharePoint 展開 | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) | Windows 8 (Internet Explorer) | iOS 5.x 以降のバージョン (Safari ブラウザー) | Android 4.x 以降のバージョン (Android ブラウザー) |
| Windows 認証 | NTLM | Active Directory | 社内 | あり | はい | はい | はい | はい |
| 基本認証 | Active Directory | 社内、エクストラネット | あり | はい | はい | はい | はい | |
| フォームベース認証 (FBA) | FBA | Active Directory、LDAP、SQL | 社内、エクストラネット | あり | はい | はい | はい | あり |
| FBA | OrgID | Microsoft 365 の SharePoint、ハイブリッド ベースのシナリオ | はい | はい | はい | はい | はい | |
| SAML (トークンベース) | SAML | WS-Federation 1.1 対応の ID プロバイダー | オンプレミス、Microsoft 365 の SharePoint、ハイブリッド ベースのシナリオ | はい | はい | はい | はい | はい |
表: OneDrive アプリでサポートされている認証の種類
| 認証の種類 | 説明 | サポート | 構成に必要な管理者の種類 |
|---|---|---|---|
| 組織 ID | フェデレーションのない Microsoft 365 または SharePoint 組織を持つ組織。 | はい | グローバル管理者 |
| ADFS と組織 ID のフェデレーション | オンプレミス ディレクトリからフェデレーションされたユーザーを持つハイブリッド Microsoft 365 または SharePoint 組織を持つ組織。 | はい | グローバル管理者とオンプレミス ネットワーク管理者、および SharePoint 管理者 |
| Windows 認証 (NTLM) | SharePoint 環境が NTLM クレーム ベースの Windows 認証を許可するように構成されている組織。 | はい | SharePoint 管理者 |
| フォームベース認証 (FBA) | SharePoint 環境が、フォーム ベース認証、または標準 Web コントロールを介した他の互換性のあるクレーム ベース認証を許可するように構成されている組織。 | はい | SharePoint 管理者 |
| 認証された ADFS 以外の ID プロバイダー | Microsoft 365 または SharePoint 環境を持つ組織は、 Microsoft 365 - Identity プログラムでリッチ クライアントの資格を持つ ID プロバイダーとフェデレーションされるユーザー サインインを許可するように構成されています。 | はい | SharePoint 管理者に加えて、オンプレミスのネットワーク管理者またはグローバル管理者 (一部の組織では、グローバル管理者がオプションではなく要件です)。 |
| その他すべての ADFS 以外の ID プロバイダー | SharePoint 環境が ADFS 以外の ID プロバイダーを許可するように構成されている組織。 | いいえ | SharePoint 管理者とオンプレミス ネットワーク管理者 |
| Kerberos 認証 | SharePoint 環境が Kerberos 認証をサポートするように構成されている組織。 | いいえ | SharePoint 管理者とオンプレミス ネットワーク管理者 |
| 基本認証 | SharePoint 環境が基本認証をサポートするように構成されている組織。 | いいえ | SharePoint 管理者とオンプレミス ネットワーク管理者 |
注:
Microsoft 365 の複数組織ユーザーの場合は、Wi-Fiや携帯データネットワークなど、任意のネットワーク環境で OneDrive アプリから接続できます。 Microsoft 365 の複数組織ユーザーでない場合は、組織のオンサイト Wi-Fi ネットワークを使用している場合にのみ接続できます。 ユーザーが不明な場合は、SharePoint 管理者に問い合わせてください。
表: Office ハブのモバイル認証サポート マトリックス
| SharePoint インフラストラクチャ | クライアント側 | モバイル デバイス | ||||
|---|---|---|---|---|---|---|
| 認証の種類 | 認証プロトコル | ID プロバイダー | SharePoint 展開 | 処理: | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) |
| Windows 認証 | NTLM | Active Directory | 社内 | NTLM | はい | はい |
| 基本認証 | Active Directory | 社内、エクストラネット | 基本認証 | なし | あり (https) | |
| フォームベース認証 (FBA) | FBA | Active Directory、LDAP、SQL | 社内、エクストラネット | MSOFBA | あり | あり |
| FBA | OrgID | SharePoint、ハイブリッド ベースのシナリオ | MSOFBA | あり | あり | |
| FBA | OrgID | SharePoint、ハイブリッド ベースのシナリオ | アクティブ認証 (IDCRL) | なし | はい | |
| SAML (トークンベース) | SAML | WS-Federation 1.1 対応の ID プロバイダー | オンプレミス、SharePoint、ハイブリッド ベースのシナリオ | MSOFBA | あり | あり |
| SAML | WS-Federation 1.1 対応の ID プロバイダー | オンプレミス、Microsoft 365 の SharePoint、ハイブリッド ベースのシナリオ | アクティブ認証 (IDCRL) | なし | はい |
注:
モバイル デバイスが SharePoint サーバーと通信するには、サーバーでインターネット プロトコル セキュリティ (IPSec) を無効にする必要があります。 これを行う必要があるのは、モバイル デバイスはドメインに参加しないためです。
SharePoint Newsfeed アプリの認証
このセクションでは、SharePoint Newsfeed アプリの認証のガイダンスおよび考慮事項を説明します。 これには、オンプレミスベースの展開と、Microsoft 365 での SharePoint の使用に関する情報が含まれます。
以下の表に、SharePoint Server 2013 の SharePoint Newsfeed アプリでサポートされる認証の種類の詳細を示します。 以下では、OrgID は Microsoft 365 の ID プロバイダーである Microsoft Online Services ID を参照します。 また、MSOFBA は Microsoft Office のフォーム ベース認証を示しています。
表: SharePoint Newsfeed アプリのモバイル認証サポート マトリックス\
| 認証の種類 |
認証プロトコル |
ID プロバイダー |
SharePoint 展開 |
処理: |
Windows Phone 7.5 アプリ |
Windows Phone 8 アプリ |
Windows 8 アプリ |
iOS 6.x 以降のバージョンのアプリ |
|---|---|---|---|---|---|---|---|---|
| Windows 認証 |
NTLM |
Active Directory |
社内 |
NTLM |
なし |
いいえ |
はい |
あり |
| 基本認証 |
HTTPS |
Active Directory |
社内、エクストラネット |
基本認証 |
あり |
はい |
なし |
あり (https) |
| フォームベース認証 (FBA) |
FBA |
Active Directory、LDAP、SQL |
社内、エクストラネット |
MSOFBA |
あり |
はい |
いいえ |
あり |
| FBA |
FBA |
OrgID |
SharePoint、ハイブリッド ベースのシナリオ |
MSOFBA |
あり |
はい |
いいえ |
あり |
| FBA |
FBA |
OrgID |
SharePoint、ハイブリッド ベースのシナリオ |
アクティブ認証 (IDCRL) |
なし |
いいえ |
はい |
はい |
| SAML (トークンベース) |
SAML |
WS-Federation 1.1 対応の ID プロバイダー |
オンプレミス、Microsoft 365 の SharePoint、ハイブリッド ベースのシナリオ |
MSOFBA |
あり |
はい |
いいえ |
あり |
| SAML |
SAML |
WS-Federation 1.1 対応の ID プロバイダー |
オンプレミス、Microsoft 365 の SharePoint、ハイブリッド ベースのシナリオ |
アクティブ認証 (IDCRL) |
なし |
いいえ |
はい |
はい |
重要
Microsoft 365 の SharePoint のフェデレーション シナリオでは、Active Directory フェデレーション サービス (AD FS) (ADFS) 2.0 のみがサポートされます。 セットアップ プロセス中に、" urn:oasis:names:tc:SAML:2.0:ac:classes:Password" のパッシブ フェデレーション認証 URI をサポートする必要があります。
認証ワークフロー
SharePoint Newsfeed アプリは、Microsoft 365 でのオンプレミスと SharePoint の両方でサポートされています。 各オプションは、エンド ユーザー認証ワークフローの違いを示しています。 たとえば、この表は各種類の実装の認証エクスペリエンスの例を示しています。
| 展開 | ワークフロー | 詳細 |
|---|---|---|
| 社内 |  |
サポートされる認証の種類 Windows 認証 フォームベース認証 SAML |
| Microsoft 365 の SharePoint |  |
サポートされる認証の種類 フォーム ベースの認証 SAML |
クロスファイアウォール アクセスの構成など、SharePoint Newsfeed アプリをネットワークに展開する方法の詳細については、「 SharePoint Server でモバイル デバイスの外部アクセスを構成する」を参照してください。