Monthly Office 365 Update (10月分)

Office 365のアップデートを定期的にチェックして気になったものをピックアップするシリーズ。飽きたらやめます。

チェックソース

TechPlusライブラリはMSパートナーじゃないとアクセス出来ないので、いけてる情報があったら内容を紹介する事にします。Office 365 Roadmapは見るの大変なのでやめるかも。結果、Office 365 メッセージセンターだけの紹介に…。

Office 365 メッセージセンター

MC123071 Updated feature: Exchange Online Protection

RFC 5322 に準拠しないメールアドレスはスパム扱いしちゃうぜ!って話らしいです。具体的にはこんなメールアドレスです。

How Office 365 validates the From: address to prevent phishing - Outlook

実際、どの程度スパム判定されるか分かりませんが、11月9日(木)から有効との事で、その日はメールログを要チェックです。

MC123714 New feature: Group insights in Yammer

Yammer上でグループの分析機能が有効になりました。これ、うちにも来ててメンバーだけ多くて活動していないグループも一目でわかっちゃいます…。こういうグラフはコミュニティ運営で励みになりますね。

MC124248 New feature: Client Access Rules for Exchange Online

今まで、Exchange OnlineではMAPIやOWA,POPなどプロトコルレベルでのアクセス制御は出来ましたが、これからは

  • ユーザー名 / アクセス元IPレンジ / 認証タイプ / 受信者属性を条件に
  • プロトコル / アプリケーション / サービス / リソースを使用できるか

アクセス制御が出来るようです。IntuneのExhange Online限定版といったところでしょうか。11月初めから展開を開始し、12月終わりには展開を終了する予定だそうです。

いやーマジか。OneDrive for BusinessでIPレベルのアクセス制御が出来るので、Exchange Onlineでも問題なく動くんだろうな~。

機能が便利になるのはいいですが、調子に乗って社内IPからしかアクセス出来ないように制限すると実は3rdパーティー製メールシステムからアクセスありました、とかなりそうなので、実装は慎重にしたい所。あとSIer的には"Exchange Onlineでのアクセス制御は構築対象外です"って入れとかないと大変そうです。

その他、SharePointGUI関係の投稿が多数

いろいろありますが、SPOはただいま大工事中なので出来上がったサイトを見たほうが早いかもしれません。

MC117085 Changes to the Token Lifetime Default in Azure Active Directory

リフレッシュトークンを使用していない際の失効期間が14日から90日に伸びるそうです。

Changes to the Token Lifetime Defaults in Azure AD - Enterprise Mobility + Security

※ 既定の14日から変更している組織は対象外だそうです。

自分用に整理すると、Azure ADの代表的なトークンは2種類あり…

  • アクセストークン(Access Token)
    • アクセス先のシステムに渡すためのクレデンシャル。既定の有効期間は10分。ユーザー、クライアント、リソースの組み合わせ毎に発行される
  • 更新トークン(あるいはリフレッシュトークンと呼ばれる)(Refresh Token)
    • 上記アクセストークンとセットで発行され、PCにキャッシュされるクレデンシャル。更新トークンの有効期間中は更新トークンよりアクセストークンを生み出せるため、認証基盤に対しての再認証は不要である。

今までリフレッシュトークンの有効期間が14日だったので、長期休暇で14日間Office 365にアクセスしないと、15日目に再認証が求められていて、これがユーザー利便性を妨げていた、よって90日にした…との事。

ここからは余談で、私が良く分かってないのですが「Office 365への認証っていつ頃切れるの?(再認証されるの?)」って聞かれて、「14日間間を空けずに使い続ければ、最大90日間使えるよ」って説明しています。

参考:Office 365 のセッション タイムアウト - Office 365

これ、14日間というのが"Refresh Token Max Inactive Time"のプロパティであり、90日間というのが"Refresh Token Max Inactive Time (Confidential クライアントに発行)"なんですね。

Azure Active Directory における構成可能なトークンの有効期間 | Microsoft Docs

けど一方、上記ドキュメントの中に"更新トークンを使用して、現在のアクセス トークンの有効期限が切れたときに、新しいアクセス トークンと更新トークンのペアを取得します。"と書いてあます。これが正しいなら、アクセストークンは10分くらいで切れるため、キャッシュされたリフレッシュトークンを元に新しいアクセストークンを作成して認証に行くのですが、このタイミングで新しいリフレッシュトークンをゲットし、リフレッシュトークンの有効期限が更新されるんじゃないかな…と思ってたのです。

まぁこの"新しいリフレッシュトークン"によって更新されるのは、リフレッシュトークンの最終使用日時であり、これとは別にリフレッシュトークンの新規作成日時、みたいなデータを持っており、90日縛りは新規作成日時を元に確認されてるのかな…と無理やり納得してみます。

ここらへんの話、認証トークンの期限だけではなくアプリの作りにもよると思うので(OneDrive同期ツールなんて、一度設定したら90日経ってもパスワード変わっても再認証不要ですよね?)理解しづらい所だな、と思います。