同意フィッシング保護がOffice365に追加されました

MicrosoftのOffice365は現在、OAuthアプリパブリッシャーの検証やアプリの同意ポリシーなどの同意フィッシング保護機能を備えて一般的に利用可能になっていると、Microsoftは昨日のリリース投稿で述べています。

この保護により、Office 365ユーザーは、同意フィッシングと呼ばれるアプリケーションベースの攻撃から保護されます。この攻撃では、悪意のあるOffice 365 oAuthアプリにアクセス許可を付与することで、ターゲットがだまされてOffice365アカウントを提供します。

同社によれば、このための3つの更新が展開されています。これには、-パブリッシャー検証の一般提供、未確認のパブリッシャーのユーザー同意更新、アプリ同意ポリシーの一般提供が含まれます。

開発者は、パブリッシャー検証を使用して、「検証済みのIDをアプリ登録に追加し、アプリが本物のソースからのものであることを顧客に示します」。

この機能は、今年の5月にすでに公開プレビューに登録されています。現在、700を超えるアプリパブリッシャーがMicrosoftによって検証され、合計1300のアプリが登録されています。検証済みのパブリッシャーが開発したアプリは、すべてのAzureAD同意プロンプトに青い検証済みバッジを備えています。

管理者は、エンドユーザーの同意のために一般的に利用可能なアプリの同意ポリシーを使用して、「ユーザーが同意できるアプリと権限をより細かく制御」できるようになります。

「悪意のあるアプリケーションがユーザーをだまして組織のデータへのアクセスを許可しようとするリスクを減らすために、検証済みの発行元によって公開されたアプリケーションに対してのみユーザーの同意を許可することをお勧めします」とMicrosoftは説明します。

アプリの同意ポリシーを構成すると、ユーザーは、デベロッパーがパブリッシャーであることが確認されているアプリにのみ権限を付与できるようになります。管理者は、よりきめ細かい制御が必要な場合に、カスタムアプリ同意ポリシーを設定することもできます。これを行うために必要な手順は次のとおりです。

  • グローバル管理者としてAzureポータルにサインインします
  • [AzureActiveDirectory]> [エンタープライズアプリケーション]> [同意とアクセス許可]> [ユーザー同意設定]を選択します。
  • ここでは、すべてのユーザーに対して構成するコンテンツを設定できます
  • 選択したら、保存ボタンをクリックして変更を加えます

「2020年11月8日以降に登録された、未確認のパブリッシャーからの新しいマルチテナントアプリに同意できなくなる」ため、パブリッシャーの検証が一般に利用可能になるため、すべてのオフィスユーザーが保護されます。