Office クラウド ポリシー サービスで Office アプリのセキュリティを強化する

Microsoft セキュリティ ベースラインを理解する

数年前、マイクロソフトは、設定が多すぎて顧客へのガイダンスが不十分であるという批判に直面しました。この問題は、Windows リソース キット (BackOffice アプリケーション用の大量の印刷されたドキュメント セット) の時代にまで遡ります。時間の経過とともに、マイクロソフトはドキュメントの品質を改善し、国家安全保障局や国立標準技術研究所などの組織は、米国国防総省の STIG (セキュリティ技術実装ガイド) などの独自の構成推奨事項を作成し始めました。

Microsoft は、グループ ポリシー テンプレートを作成し、企業ドメイン全体にわたる一貫した設定の適用を簡素化することで対応しました。しかし、これらはほとんどの企業環境にとって制限が厳しすぎました。そのため、Microsoft は、より幅広い用途に合わせてカスタマイズされた独自のベースライン設定を開発しました。 Windowsの現在のMicrosoftベースライン設定は次のとおりです。.

ベースラインの課題

主な課題はベースライン自体ではなく、その適用性にあります。すべてのデバイスがドメインまたはオンプレミスの Active Directory に参加しているわけではありません。グループ ポリシー オブジェクトは、個人のデバイスや Entra ID ドメインに参加しているデバイスには有効ではありません。この問題に対処するために、Microsoft は Office Cloud Policy Service (OCPS) を導入しました。

OCPS を使用すると、Office 365 管理者は、Office を実行してテナントに接続している任意のデバイスにポリシーをプッシュできます。画面のロック時間やパスワード要件 (Intune または別のデバイス管理ソリューションが必要) などの設定を制御することはできませんが、Office アプリ間で一貫したポリシーの適用が保証されます。

OCPS によるベースラインの実装

良いニュース: E3 ライセンスで無料で利用できる OCPS を使用して、Office アプリケーションに推奨されるベースライン セキュリティ ポリシーを適用できます。悪いニュース: これらの設定はグループ化されていないため、適用がやや面倒になります。ただし、ベースライン ポリシーを設定すると、Office アプリのセキュリティが大幅に強化されます。

新しいテナントポリシーの作成

OCPS は、優先順位が付けられ、特定のグループに範囲が設定された複数のポリシーをサポートします。テナント全体のポリシーを設定する方法は次のとおりです。

1. ログインする オフィスの設定 グローバル管理者または Office アプリ管理者の権限を持つアカウントを使用します。
2. 左側のナビゲーション バーで [カスタマイズ] > [ポリシー管理] に移動します。
3. 「作成」をクリックして新しいポリシーを開始し、名前と説明を入力して、「次へ」をクリックします。
4. スコープ ページで [このポリシー構成はすべてのユーザーに適用されます] が選択されていることを確認し、[次へ] をクリックします。

[設定の構成] ページで、[セキュリティ ベースライン] ピボットをクリックして選択肢をフィルター処理すると、Office クライアントのセキュリティ ベースラインにある 135 を超えるポリシーが表示されますが、そのほとんどは「未構成」として表示されます。

ポリシー構成状態

各 OCPS ポリシー設定は次のようになります。

• 構成されていません
• 使用可能
• 身体障がい者

ベースライン設定には、Microsoft の推奨構成を適用する「Microsoft 推奨ベースライン」オプションが含まれています。または、手動で設定を構成することもできます。

推奨されるセキュリティ設定

135 を超える設定があるため、適切な設定を選択するのは困難です。次の重要な領域に注目してください。

• ファイルの種類とソースを制限します。「インターネットからの Office ファイルでマクロが実行されないようにブロックする」から始めます。
• アプリケーション間で一貫して設定を適用します。ポリシーは多くの場合、特定のアプリに適用されます。
• ユーザーへの影響を予測するために、完全な展開の前に設定をテストします。

OCPS は無料なので、セキュリティを強化するためにこれらの設定を構成するために時間を費やす価値はあります。