【SharePoint Online】IPアドレスでのアクセス制御
東日本大震災から今日で6年ですね。Yahooで3.11と検索すると10円寄付されるようですので、後1時間程度しかありませんが是非。
さて、今日はOffice 365勉強会でした。100名ほどの方が土曜日なのにも関わらず集まるという素敵なコミュニティですね。スピーカーや主催の方、場所提供の会社さんありがとうございます。ブログを書くところまでが勉強会とのことでしたので、約3ヶ月ぶりに投稿いたします。笑
私もSharePonint Onlineの新機能であるIPアドレス制御についてLTさせていただきましたので、今日はその内容を書きたいと思います。
まだ先行リリースの機能ですので、今後変更される可能性は大いにあり得ます。その点ご注意ください。
設定方法
正式リリース前の機能のため、先行リリースを有効化する必要があります。
※本番環境に先行リリースを有効化することは気を付けましょう。私はテスト環境で実施しています。
しばらくすると「デバイスアクセス」というメニューが出てきます。許可するIPアドレスを入力する箇所があるので、ここにアクセスを許可するIPアドレスを入力してください。
(注)必ずアクセス可能なIPアドレスを入れてください。以下のように、場合によってはアクセスができなくなる可能性があります。
管理エクスペリエンス管理者は、ネットワーク範囲に現在のマシンの IP アドレスを含める必要があります。IP アドレス範囲は厳格に遵守されるため、管理者のマシンの IP が含まれていないと管理セッションがロックアウトされます。管理セッションがロックアウトされた場合は、サポート担当に接続の再確立を依頼してください。
許可IP以外からのアクセス
それでは、登録されていないIPアドレスからアクセスしてみましょう。以下のようにアクセスが拒否されます。
設定としては、非常に簡単にIPアドレス制御を実装することができました。現時点では例外の設定ができないため、全ユーザーにIP制御が適用されます。そのため、特定の管理者だけはアクセス制御をかけないといったことはできません。
非常に素直なIP制御
さて、このIPアドレス制御は非常に素直に適用されます。ユーザーにも管理者もどちらにもIP制御がかかりますし、すべてのサイトコレクションに適用されます。また、まさかのSharePoint管理センターにも適用されます。そのため、災害時などにIP制御を無効化したいという要望を現時点では満たすことができません。(せっかくのクラウドのメリットをあまり享受できていないような。。)
そのため、現時点で実運用を想定するのであればAzure AD Premiumの条件付きアクセスかサードパーティー製のソリューションを組み合わせるのが良いかと思います。
とはいえ、手軽に実現出来るに越したことはないので、これからに期待の機能ですね。
それではまた次回に。(いろいろ書きたいことはあるので頻度を上げたいですね笑)