NTT コミュニケーションズ株式会社
損保クラウドサービス 個別ルールプラン
-【 管理者用 】
初期導入 設定マニュアル
~ 独自ドメインをご利用のお客様 ~
Ver 3.6
< 2021年8 月 発行 >
1
目次
1 はじめに ... 2 2 Office365 テナント初期設定 ... 4 2.1 独自ドメインの登録 ... 4 3 IIJ ID/GUARDIANWALL 開通後の設定手順 ... 18 3.1 IIJ ID 設定のための環境準備 ... 19 3.2 IIJ ID アカウント設定のためのグループ作成 ... 20 3.3 Office 365 と IIJ ID の連携 ... 24 3.4 パスワードポリシーの設定 ... 39 3.5 GUARDIANWALL 初期設定 ... 41 3.6 GUARDIANWALL ポリシー設定 ... 59 3.7 GURADIANWALL の注意事項 ... 81 3.8 IIJ ID と GUARDIANWALL の連携 ... 82 4 Office 365 セキュリティ強化設定 ... 90 5 IIJ ID 管理者アカウントの通知先メールアドレスの変更 ... 98 6 ログイン履歴保持期間の変更 ... 100 7 多要素認証設定の確認および変更 ... 1022
1 はじめに
本マニュアルは、損保クラウドサービス 個別プランで利用するドメインを Office365 への登録及び、対象 ドメインの DNS へ登録時に必要な所有者確認のためのレコード登録までの設定手順書となります。K
以下のお客様は、本マニュアルでの作業は不要です
K
●
事前にご準備が必要な環境や情報
●
損保クラウドサービスをお申し込み時に、以下内容にてご契約のお客様については、本マニュアル での作業は不要です。 上記に該当するご契約のお客様については、本マニュアルでの作業は割愛し、 【管理者用】 ユーザーアカウント登録設定マニュアル からの初期設定を開始します。 ・ 弊社の 「DNS サービス」 と 「ドメインサービス」 を同時にご契約され、その際に 本サービスで利用するドメインを新規で取得したお客様 ・ 損保クラウドサービスでは独自で取得したドメインは使用せずに、本サービス側にて用意 したドメイン名が XXX.insurance-agt.ne.jp のサブドメインで運用のお客様 ・ インターネット接続が可能な通信環境 ・ 管理者アカウントでログインしている Windows OS のパソコン ※本書では以下の環境を利用しています。パソコン: Windows 10 64bit インタネットブラウザ︓Microsoft Edge
・ 損保クラウドサービスのご契約時に提供しております 管理者アカウント、各コントロールパネル
3
< 損保クラウドサービスのご利用時における推奨環境 >
以下のシステム要件に該当しない環境でのご利用は、サポート対象外となります ■オペレーティングシステム Windows 10、Windows 8.1 ※Mac OS 及びスマートフォンやタブレット端末の iOS、Android OS は動作保証外 ■ブラウザMicrosoft Edge、Safari 12.0.1 、Chrome 70.0.3538.110 、Firefox 63.0.3 (Safari/Chorme/Firefox についてはその時点の最新バージョンで利用) ※Teams のビデオ会議利用の場合は制限事項があります ■ハードディスク Window︓使用可能ディスク領域 4.0 GB ■メモリ
Windows: 4GB RAM、2 GB RAM (32 ビット)
■コンピュータとプロセッサ
Windows︓ Windows: 1.6 GHz 以上、2 コア。
Skype for Business を使用する場合は 2.0 GHz 以上を推奨
■認証連携
先進認証を利用しているため、クライアントアプリ利用の場合は Office 2016 以降対象 Office 2013 はレジストリ変更が必要。 それ以下のバージョンは非対応
4
2 Office365 テナント初期設定
本章では、Office365 の管理画面から、独自ドメインを登録する方法について解説します。2.1 独自ドメインの登録
(1) Office365 へログイン(https://www.office.com/)します。[サインイン]をクリックします。 (2) お手元の「開通のご案内」に記載の [AdminUserName]の項目を入力し[次へ]をクリックします。 クリックする コピーする5 (3) お手元の「開通のご案内」に記載の [TemporaryAdminPassword]の項目を入力し[サインイン]をクリックします。 クリックする AdminUserName を入力する クリックする TemporaryAdminPassword を入力する コピーする
6 (4) 「サインインの状態を維持しますか?」画面が表示されます。 [いいえ]クリックします。 (5) Office 365 管理画面が表示されますので、左側メニュー一覧より「管理」をクリックします。 クリックする ■サインイン状態の維持について サインインの状態を維持してしまうと、ブラウザに Office365 へのログインが保持されてしまう為、 セキュリティ上の観点から「いいえ」を推奨しています。 クリックする
7 (6) Microsoft 365 管理センター画面の左側メニューより[すべてを表示]をクリックします。 (7) 展開された項目にて表示された [設定]メニューより [ドメイン] をクリックします。 (8) 遷移した画面の上部メニューから [+ドメインの追加] をクリックします。 クリックする クリックする クリックする
8 (9) ドメインの入力枠が表示されるので、損保クラウドサービスでご利用の独自ドメイン(お客様ドメイン) を入力し、画面下部の [このドメインを使用する] をクリックします。 (10) [ドメインの DNS レコードに TXT レコードを追加する」 を選択し、画面下部の [続行] をクリックします。 (11) [TXT 値] の “ MS=XXXXXX “ 箇所を、対象ドメインのDNS へ登録が必要となります。 この箇所の情報をコピー等などでメモしたの後には、画面下部の [確認] はクリックせずに、インター ネットブラウザによる当該画面の X(バツ)印をクリックして閉じます。 ドメイン名を入力する 選択項目をチェックします MS=XXXXXX の箇所を メモしておきます [確認] はクリックしません
9
●
Office365 で表示されていた [TXT 値] を再確認する場合
●
(11)で表示されていた MS=XXXXXX の形式による [TXT 値] を DNS に設定する 際に、再確認したい場合は、以下の手順にて Office365 の画面より表示する事が可能です。 a) 「独自ドメインの設定」 での (6) と (7) の手順にて、Office365 の画面を操作します。 b) 遷移した 「ドメイン」 画面内に表示された対象ドメインの箇所をクリックします。 c) 「ドメイン」 の概要が表示される画面となるので、画面上部のメニューより [▷ セットアップの開始] をクリックします。 d) 「独自ドメインの設定」 での(10)と同様の画面に遷移するので、[ドメインの DNS レコードに TXT レコードを追加する」 を選択し、画面下部の [続行] をクリックします。 e) 遷移した画面にて 「独自ドメインの設定」 での (11) と同様の [TXT 値] が表示 されるので、確認後はインターネットブラウザの画面を X(バツ)印でクリックして閉じます。 クリックする クリックする10
※TXT 値を DNS へ登録する際の手順について※
本マニュアルの 12 ページからは、本サービスのオプション
「DNS サービス」
を
ご契約の場合
に、専用の管理画面にて、
[TXT 値]
を設定する際の手順を記載しております。
●ご利用の DNS に TXT 値の登録が出来ない場合●
「DNS サービス」
を
ご契約の場合
「DNS サービス」
を
ご契約されていない場合
引き続き本マニュアルの(12)の手順に進み、「DNS オプションサービス」 の管理画面 にて、 [TXT 値] の登録作業を実施します。 (11)の行程で表示された [TXT 値] の DNS への登録方法は、お客様が弊社以外の 他社で別途ご契約されている対象ドメインでの DNS の提供元サービスへご確認ください。 対象ドメインの提供元サービスの DNS に [TXT 値] の登録が完了後は、引き続き本マニ ュアルの(12)から(23)までの手順は割愛し、15 ページ(24)からの作業を実施しま す。 本サービスとは別にご契約されている他社の DNS をご利用の際に、該当する DNS の提供元での 下記例のような仕様により、TXT 値を含め、その他レコードの登録が出来ない場合がございます。ご利用の DNS が上記仕様の場合、任意でのレコードの編集が可能な 「DNS サービス」 を、損保 クラウドサービスのオプションとしてご用意しております。 上記 「DNS サービス」 を利用しての運用をご検討の際の、サービス詳細及び申込方法や料金等 については、弊社の以下窓口にお問い合わせください。 損保クラウドのお問い合わせ一覧 | NTT Com お客さまサポート
・ 追加、削除等の任意による DNS レコードの編集を許可していない ・ レコードの登録数に制限が有るため、別途レコードの追加が不可 など
11
(12) お手元の「開通のご案内」に記載の DNS サービスオプション [コントロールパネル URL] (https://dns-editor.ocn.ad.jp/)へアクセスします。
(13) [OCN DNS Hosting Control Panel]画面が表示されます。[Japanese Menu]をクリックします。
(14) [DNS 機能 コントロールパネル l]画面が表示されます。「開通のご案内」に記載の必要情報を入力し [ログイン]ボタンをクリックします。 アクセスする クリックする ・ゾーン名 ・認証 ID ・認証パスワード を入力する 以下の(12)から(23)までの手順は
、
「DNS サービス」
をご契約のお客様向けのご案内となります12 (15) [DNS 機能 設定メニュー]画面が表示するので、[レコード編集] ボタンをクリックします。 (16) [DNS 機能 レコード編集]画面が表示されます。 画面をスクロールし、レコード編集画面で[行の追加]欄にある「+」ボタンをクリックします。 クリックする クリックする
13 (17) [+]ボタンのある行の下に空の行が追加されます。追加する必要数分、行を追加してください。 追加後、Type 欄から [TXT] レコードをクリックします。 (18) 10 ページの (11) の手順で表示しメモをしておいたMS=XXXXXX による [TXT 値 ] を入力します。 ■登録画面サンプル (19) レコードの入力完了後、serial 値を更新します。 ※serial の値は DNS レコードを編集する際に、都度変更する必要がありますので、既存値より 大きい数値にて半角数字でご入力ください。 (20) [次へ]ボタンをクリックします。 (21) 確認画面が表示されます。 クリックする 更新する クリックする
14 (22) 内容をご確認いただき、画面下部の[登録]ボタンをクリックします。 [編集したゾーンファイルを DNS サーバへ反映しました。] と表示されます。
※
ドメインの管理会社を、他社から移管してご利用のお客様について
※
クリックする 損保クラウドサービスのご契約にあたり、ご利用ドメインの管理を他社から弊社の 「ドメイン登録 サービス」 へ移管されているお客様については、当該サービスの [ドメインマネージャー] にて、 以下値によるネームサーバー情報へ切替(変更)が必要となります。 プライマリ DNS︓ns6-tk01.ocn.ad.jp セカンダリ DNS︓ns6-tk02.ocn.ad.jp ※上記値によるネームサーバ情報への切替を未実施の場合、「DNS サービス」 に登録した レコード情報は反映せず、この先の(25)での 「ドメインの確認」 にてエラーとなります。 ※「DNS サービス」 に登録したレコード情報の反映は、[ドメインマネージャー] にてネーム サーバー情報への切替(変更)後から最大 72 時間程度の時間を要します [ドメインマネージャー] の操作方法などのお問い合わせは、件名が “【nttdomain】ドメ イン登録完了のお知らせ” のメール内に記載の以下サポートサイトをご参照ください。 ドメイン登録サービスカスタマサポートセンター15 (23) 本マニュアルの 10 ページ 「Office365 で表示されていた [TXT 値] を再確認する場合」 の手順で [TXT 値] が表示されていた (11) 手順に戻り、画面下部の [確認] ボタンをクリックします。
●
[確認] をクリックしたした際にエラーメッセージが表示された場合
●
以下からの手順は、(11)の続きとなり、再度「Office365」
管理画面での作業となります クリックする [TXT 値] を DNS に未登録や設定が未反映、異なる [TXT 値] を登録した場合、(24) の [確認] をクリックした際に、以下のような登録確認が出来ない旨のエラーが表示されます。 上記エラーが表示された場合には、対象ドメインの DNS に [TXT 値]の登録を実施、または DNS に登録済みの [TXT 値] を適宜修正後に、 [確認]をクリックするようにします。 エラーメッセージが表示16 (24) DNS に適切な [TXT 値] が登録されている場合、「お使いのドメインにはどのような方法で接続しますか?」 の画面へ遷移しますが、その際には画面下部の [続行] ではなく、[閉じる]をクリックします。 (25) 遷移した 「ドメインの状態」 が表示された画面の左側のメニュー一覧より、[ドメイン] をクリックします。 クリックする クリックする
17 (26) 登録ドメイン名の一覧が表示されている画面へと遷移するので、前項までで作業していた独自ドメイン とは異なる 「***.onmicrosoft.com」 でのドメインの表示箇所をクリックします。 (27) 本項で登録設定を実施した独自ドメインではなく、「***.onmicrosoft.com」 のドメイン 箇所をクリックし、[規定に設定] とします 上記作業により、登録ドメインの一覧での 「***.onmicrosoft.com」 のドメインは次項での IIJ ID での作業に必要な定義としての (規定) として表示されます。 クリックする クリックする
18
3 IIJ ID/GUARDIANWALL 開通後の設定手順
本章では、Office365 と IIJ ID および GUARDIANWALL を連携させる手順について解説します。
損保クラウドでは、IIJ ID と Office 365 および GURADIANWALL がアカウント連携しています。 そのため、ユーザー登録、および削除についてはマニュアル通りの順序にて実施いただく必要がございますので、 ご注意下さい。
19
3.1 IIJ ID 設定のための環境準備
(1)
Windows のスタートメニューから、[Windows PowerShell]フォルダをクリック、[Windows PowerShell]を 右クリックして [管理者として実行する] をクリックします。 (2) 表示した Windows PowerShell の画面に以下のコマンドを入力し、インストールの可否についてのメッセージが表示される ので、「はい(Y)」 としての応答となる Y を入力します。 (3) インストールするモジュールを信頼するか否かのメッセージが表示されるので、上記の行程と同様に 「はい(Y)」 としての 応答となる Y を入力します。 Y を入力 Install-Module MSOnline コマンドを入力このマニュアルでの作業より以前に、Windows PowerShell を利用して 本サービス以外での Office365 の 作業を実施していた場合、既にモジュールがインストールされているため、[Install-Module MSOnline] の コマンドを実施してもメッセージ等が表示しない場合がございます。
上記のような場合には、次ページ 「3.2 IIJ ID アカウント設定のためのグループ作成」 からの作業を実施します。
20
3.2 IIJ ID アカウント設定のためのグループ作成
(1) IIJ ID の管理画面へサインインし、ID とパスワードを入力します。 https://www.auth.iij.jp/console/ お手元の「開通のご案内」に記載の IIJ ID の[ID]と[パスワード]をご用意ください。 (2) パスワードを入力し、[次へ]をクリックします。 クリックする21 (3) IIJ ID 管理画面が表示されます。
(4) 画面上部の[アカウント]から、[グループの管理]をクリックします。
22 (5) [+グループを新規に追加する]をクリックします。
(6) [グループの追加]画面が表示されます。
23
(7) グループ名に「Office 365 一般ユーザー」と入力し、[グループを追加する]をクリックします。
(8) 作成した[Office365 一般ユーザ]がグループが登録されます。
クリックする
24
3.3 Office 365 と IIJ ID の連携
(1) 画面上部の[アプリケーション]から、[アプリケーションの管理]をクリックします。 (2) [アプリケーションの管理]画面が表示されます。続いて、[アプリケーションを追加する]をクリックし、 [+Office 365 / Dynamics 365 を追加する]をクリックします。 クリックする クリックする25 (3) 「Office 365 / Dynamics 365 の追加」画面が表示されます。[追加する]ボタンをクリックします。 (4) 「アプリケーションの管理」画面に「Office 365 」が追加されていることを確認します。 [編集]ボタンをクリックします。 クリックする クリックする
26
(5) 設定画面が表示されます。[フェデレーション設定]をクリックします。
(6) [フェデレーション設定]から、[連携]をクリックします。
クリックする
27 (7) [ドメインを連携]から、[連携]をクリックします。 (8) 「フェデレーション設定を更新しました」と表示されます。メッセージを確認したら、 [Powershell スクリプトのダウンロード]をクリックします。 (9) [federation.ps1]という PowerShell スクリプトファイルがダウンロードされます。 ※本手順書は、スクリプトファイルを「C:¥temp」フォルダに保存しています。以降の手順で作業を行う場合、 ダウンロードしたファイルを事前に、ダウンロードフォルダから temp フォルダへ移動させてください。 クリックする クリックする
28
(10) Windows のスタートメニューから、[Windows PowerShell]フォルダをクリックし、 [Windows PowerShell]を右クリックして[管理者として実行する]をクリックします。 (11) PowerShell スクリプトを管理者権限実行します。 ※本手順書は、スクリプトファイルを「C:\temp」フォルダに保存しています。その他のフォルダへ保存した場合には、 以降の PowerShell のコマンドレット中の当該フォルダのパスをご入力ください。 以下コマンドを実行します。 画面左側のパスが PS C:\temp> となったら、続けて以下コマンドを実行します。 クリックする cd C:\temp
powershell –ExecutionPolicy bypass –File “federation.ps1” 右クリックする
29 (12) Microsoft サインイン画面が表示されるので、開通のご案内に記載されている[AdminUserName]の項目を 入力し、[次へ]をクリックします。 続けて、[パスワードの入力]画面で[TemporaryAdminPassword]の項目を入力し、 [サインイン]をクリックします。 (13) 正常に終了すると以下のような画面になります。 コマンド実行後、[Authentication]の部分が、[Federated]になれば、正常に実施されています。 完了後、「exit」と入力し、Powershell を閉じます。 クリックする クリックする Authentication が [Federated]になっている事を 確認する。
30
(14) 次に Azure Active Directory のテナント ID を確認します。ブラウザ(Microsoft Edge)を起動後、 右側の[・・・]ボタンをクリックし[新しい InPrivate ウィンドウ]をクリックします。
InPrivate モードでブラウザが起動します。
(15) Office 365 に管理者アカウントでログインし、Microsoft365 管理センターを開きます。 ※ログイン方法は、[2.1 独自ドメインの登録]の(1)~(6)の手順をご覧ください。
[管理センター]から[Azure Active Directory]をクリックします。
クリックする
クリックする
クリックする
31
(16) Azure Active Directory 管理センターのメイン画面が表示されます。 左メニューより、[Azure Active Directory]をクリックします。
(17) [プロパティ]をクリックします。
クリックする
32 (18) プロパティ画面が表示されます。[ディレクトリ ID]が表示されるので、コピーします。 (19) IIJ ID の管理画面に戻り、[アプリケーションの管理]画面から、 [Office 365 / Dynamics 365]の[編集する]ボタンをクリックします。 ボタンをクリックして コピーする クリックする
33 (20) [基本設定]タブをクリックし「表示されるアイコンの選択」エリアで、「Office 365 ポータル」をチェックし、 「基本設定を更新」をクリックします。 (21) 次に、[プロビジョニング設定]タブを選択し、[プロビジョニングを行う]をクリックします。 (22) [プロビジョニング設定を有効にする]と表示されます。[有効にする]をクリックします。 チェックする クリックする クリックする
34 (23) (18)の手順でコピーした[ディレクトリ ID]を貼り付け、[ディレクトリ ID を更新する]をクリックします。 (24) 画面をスクロールし、[プロビジョニング API の登録]エリアで「PowerShell スクリプトのダウンロード」ボタンをクリック し、[PowerShell スクリプトのダウンロード]をクリックします。 (25) [setup_graph_api.ps1]という PowerShell スクリプトファイルがダウンロードされます。 ※本手順書は、「C:\temp」フォルダにスクリプトファイルをダウンロードした前提で進めます。 ディレクトリ ID を 貼り付ける クリックする クリックする
35 (26) PowerShell スクリプトを管理者権限実行します。 ※本手順書は、スクリプトファイルを「C:\temp」フォルダに保存しています。その他のフォルダへ保存した場合には、 以降の powershell のコマンドレット中の当該フォルダのパスをご入力ください。 以下コマンドを実行します。 画面左側のパスが PS C:\temp> となったら、続けて以下コマンドを実行します。 Microsoft サインイン画面が表示されるので、(13)の手順と同様にログインします。 (27) 正常に終了すると以下のような画面になります。コマンド実行後、エラーがない場合、 [AccountEnabled]が True、 [TrustedForDelegation]が False と表示されます。完了後、[exit]と入力し、Powershell を閉じます。 cd C:\temp
36 (28) IIJ ID の画面に戻り、「テスト」ボタンをクリックし以下 2 つが成功していることを確認します。 ・Azure AD のサービス応答 ・プロビジョニング API 登録 成功すると以下のようにメッセージが表示されます。(数秒で消えます。) (29) 続いて、[利用者設定]タブをクリックし、[+利用者を追加する]をクリックします。 クリックする チェックマークがついている事を 確認する クリックする クリックする
37 (30) [アプリケーション利用者の追加]画面が表示されます。 [3.2 IIJ ID アカウント設定のためのグループ作成]の(8)の手順で作成した [Office365 一般ユーザ]を指定します。 ※途中まで文字を入力すると予測変換されるのでクリック後、[+選択]をクリックします。 グループ名が確定された状態になったことを確認します。 [マイアプリケーションへの表示]にて、[アイコンを表示する]をクリックします。 クリックする クリックする 確認 クリックする
38
(31) [ライセンスとプランの選択]にて、[ライセンスを選択する]をクリックします。 続けて、ライセンスの設定を行います。[ATP_ENTERPRISE]をチェックします。
[Office365 Enterprise E1]をすべてチェックします。
※Microsoft 社の仕様変更に伴い、予期せず表示欄や表記名が変更になる場合があります。
すべてチェックが終わりましたら、画面下部の[利用者設定を更新する]をクリックします。
クリックする チェックする
39
3.4 パスワードポリシーの設定
(1) IIJ ID の管理者画面から、[システム]-[セキュリティの設定]をクリックします。 (2) [パスワードポリシー]タブをクリックし、以下の通りに設定します。 クリックする クリックする クリックする クリックする40 ・パスワードの最小の文字数︓10 文字 ・パスワードの複雑性︓4 種類チェック ・アカウントロックされるまでの回数︓10 回 ・アカウントロック解除時間︓10 分 ・パスワードの再利用︓直近 1 個 ・パスワードの有効期限︓チェックを外す ・仮パスワードの有効期限︓2160 時間 (3) 設定完了後、画面下部の[更新する]をクリックします。 クリックする
41
3.5 GUARDIANWALL 初期設定
損保クラウドでは、セキュリティ強化の為「メール誤送信防止のための送信保留」、「添付ファイル ZIP 暗号化」設定を GUARDIANWALL で行います。 (1) Office 365 に管理者アカウントでログインし、Microsoft365 管理センターを開きます。 ※ログイン方法は、[2.1 独自ドメインの登録]の(1)~(6)の手順をご覧ください。 [管理センター]から[Exchange]をクリックします。 クリックする42 (2) Exchange 管理センター画面が表示されます。「メールフロー」をクリックし、「コネクタ」をクリックします。 (3) [+]ボタンをクリックし、「新しいコネクタ︓メールフローのシナリオを選択」画面を表示します。 クリックする クリックする クリックする
43 (4) [メールフローのシナリオを選択]画面で以下のとおりに設定し、[次へ]をクリックします。 ・送信元︓Office 365 ・送信先︓パートナー組織 (5) [新しいコネクタ]画面で以下を設定し、[次へ]をクリックします。 ・名前︓SonpoConnector ・説明︓損保クラウドメールポリシーコネクタ ・コネクタの保存後に、何を行いますか?︓オンにするにチェック 選択する クリックする 選択する 入力する 入力する チェックする クリックする
44 (6) [新しいコネクタ]画面で「メッセージをこのコネクタにリダイレクトするトランスポートルールが設定されている場合のみ」が 選択されている状態で、「次へ」ボタンをクリックします。 (7) [電子メールをどのようにルーティングしますか?]画面で「これらのスマートホストを使ってメールをルーティングする」を チェックし、[+]ボタンをクリックします。 チェックする クリックする チェックする クリックする
45
(8) [スマートホストの追加画面]で、開通案内のご案内に記載されている、[送信コネクタ設定]の項目を入力し、 [保存]をクリックします。※お客様毎に[番号] が異なります。
クリックする 入力する
46 (9) [電子メールメッセージをどのようにルーティングしますか?]画面で [これらのスマートホストを使ってメールをルーティングする]が選択された状態で[次へ]をクリックします。 確認する 確認する クリックする
47 (10) [Office 365 からパートナー組織のメールサーバへの接続方法を選んでください]画面で [常にトランスポート層セキュリティ(TLS)を使って接続をセキュリティで保護する]のチェックを付けます。 [任意のデジタル証明書・自己証明書も含まれます」を選択します。[次へ]をクリックします。 チェックする クリックする クリックする
48 (11) 内容を確認して[次へ]をクリックします。
49 (12) [コネクタの検証]画面で、[+]ボタンをクリックします。 (13) [メールの追加]画面で損保クラウド以外の受信可能なメールアドレスを入力し、[OK]ボタンをクリックします。 クリックする クリックする 損保クラウド以外の受信可能な メールアドレスを入力する
50 (14) [検証]ボタンをクリックし、[完了しました]メッセージが表示されたら、[閉じる]ボタンをクリックします。 (15) [検証結果]画面で正しく設定がされていると、[成功]と表示されます。 [成功]以外の表示の場合は、各設定内容を見直してください。 確認後、[保存]をクリックします。 クリックする 確認する クリックする 確認する クリックする
51 (16) 続けて、[Exchange 管理センター]から、[ルール]をクリックし、[+]ボタンをクリックします。 (17) [ルールの新規作成]をクリックします。 (18) [ルールの新規作成]画面で[その他のオプション]をクリックします。 クリックする クリックする クリックする クリックする
52 (19) 「ルールの新規作成」画面で以下を入力、選択します。 Sonpo ルール 「このルールを適用する条件」エリアでリストを展開し、[送信者]-[ドメインが次の値である]をクリックします。 [ドメインの指定]画面で、[+]ボタンをクリックし、開通のご案内に記載されている[ドメイン名]を入力します。 入力する クリックする クリックする クリックする
53 (20) 入力したドメイン情報が追加された事を確認し、[OK]をクリックします。 (21) [ルールの新規作成]画面で、[実行する処理エリア]でリストを展開し、 [メッセージを次へリダイレクトする]―[以下のコネクタ]をクリックします。 クリックする 確認する クリックする クリックする
54 (22) [コネクタの選択画面]で、「コネクタ」リストを展開し、前の手順で作成した[SonpoConnector]を選択し、 「OK」をクリックします。 (23) [ルールの新規作成]画面で、[ただし次の場合を除く]エリアの[例外の追加]ボタンをクリックします。 選択する クリックする クリックする
55 (24) 「ただし次の場合を除く」エリアでリストを展開し、[この受信者]-[ドメインが次の値である]をクリックします。 (25) [ドメインの指定]画面で(20)の手順でも入力したドメイン名を入力し[+]ボタンをクリックします。 クリックする クリックする クリックする
56 (26) 入力したドメイン情報が追加された事を確認し、[OK]をクリックします。 (27) [ルールの新規作成]画面で、[メッセージの送信者アドレスに一致する︓]エリアでリストを展開し、 [エンベローブ]をクリックし、「保存」をクリックします。 確認する クリックする クリックする クリックする
57 (28) 設定がすべて完了すると、[Exchange 管理センター]に戻ります。 [Sompo ルール]が作成されていることを確認します。 (29) 続けて、メールの自動転送機能の機能を停止させる設定を行います。 [リモート ドメイン]をクリックし[編集ボタン]をクリックします。 確認する クリックする クリックする
58 (30) 設定画面にて、[自動転送を許可する]のチェックを外します。
完了後、[保存]ボタンをクリックします。
クリックする チェックを外す
59
3.6 GUARDIANWALL ポリシー設定
(1) GUARDIANWALL の管理画面へサインインし、ID とパスワードを入力します。 お手元の「開通のご案内」に記載の GUARDIANWALL の[ログイン ID]と[初期パスワード]と [管理者画面 URL]を使用します。 [管理者画面 URL]にアクセスします。 アクセス後、以下のような[このサイトは安全ではありません]ページが表示された場合には、 [詳細情報]をクリックし、[Web ページに移動(非推奨)]をクリックしてください。 (画面イメージはお使いの OS、ブラウザにより異なります。)60 (2) GUARDIANWALL のログイン画面が表示されます。 [ログイン ID]と[初期パスワード]を入力し、[ログイン]をクリックします。 ※アカウント欄のドメイン部分については、既に入力されています。 (3) [パスワード変更]のページが表示されますので、新しいパスワードを入力します。 ※現パスワードは「開通のご案内」に記載の[初期パスワード]となります。 入力する 入力する クリックする
61 (4) [更新]をクリックします。 (5) [パスワードが変更されました]と表示されたことを確認します。 (6) パスワード更新後、左上の[GUARDIANWALL]アイコンをクリックすると、メニュー画面が表示されます。 画面右上の[設定]ボタンをクリックします。 クリックする 確認する クリックする クリックする
62 (7) [ルール編集]から、[遅延配送ルール]をクリックします。
(8) [遅延配送ルール]画面で、[+新規登録]をクリックします。
クリックする
63 (9) ルールが作成されます。[編集]をクリックします。 (10) [遅延配送ルール]編集画面で、以下の内容を入力します。 クリックする 入力する 説明︓送信メール一時保留
64 設定後、[更新]をクリックします。 クリックする 入力する チェックする 適用動作︓遅延送出 遅延時間︓1~1440分(本手順書では、5 分と設定) 通知︓送信先︓送信者にチェック クリックする
65 (11) 遅延配送ルールを更新しました。メッセージが表示されます。
(12) 続けて、[ルール編集]から[通知メール]をクリックします。
66 (13) [通知メール]設定画面で、[_delay 遅延通知(デフォルト)]の[編集]ボタンをクリックします。 (14) [通知メール]の編集画面が表示されます。以下のように設定します。 クリックする 通知メール件名︓送信メールが一時保留されました 通知メール本文︓損保クラウド送信メールルールにより送信されたメールは**分保留されたのち 自動送信されます。以下の URL で確認し、不要な場合は削除してください。 (1)の手順で入力した管理者 URL を記載 入力する 入力する
67 (15) 設定後、画面をスクロールし、[更新]ボタンをクリックします。
(16) [_dalay を更新しました]と表示されます。
68 (17) 続けて、[通知メール]画面から[_dalay_a 遅延後送出管理(デフォルト)]の[編集]をクリックします。 (18) 「通知メール件名」編集画面で、以下のように設定します。 クリックする 通知メール件名︓保留メールは送信されました 入力する
69 (19) 設定後、画面をスクロールし、[更新]ボタンをクリックします。
(20) [_dalay_a を更新しました]と表示されます。
70 (21) 続けて、[通知メール]画面から[_encrypt 添付ファイル暗号化パスワード通知(デフォルト)]の [編集]をクリックします。 (22) 「通知メール件名」編集画面で、以下のように設定します。 クリックする 通知メール件名︓添付ファイルパスワードのお知らせ 入力する
71 (23) 画面をスクロールし、[更新]ボタンをクリックします。
(24) [_encrypt を更新しました]と表示されます。
72 (25) 続けて、[ルール編集]から[メール変換ルール]をクリックします。
(26) [メール変換ルール]画面で[+新規登録]をクリックします。
クリックする
73 (27) [メール変換ルール]画面で[+新規登録]をクリックします。
(28) [メール変換ルール]編集画面で、以下のように設定します。
クリックする
74 (29) 画面をスクロールし、[メール変換ルール]編集画面で、以下のように設定します。 設定後、[更新]をクリックする。 (30) [メール変換ルールを更新しました]と表示されます。 添付ファイル暗号化︓チェックする 暗号化方式︓[ZipCrypt]を選択する ファイル名の文字コード︓[Shift-JIS]を選択する 暗号化パスワード︓[ランダム]を選択する パスワード通知︓[送信者]にチェックする クリックする チェックする 選択する 選択する 選択する チェックする
75 (31) 続けて、[ルール編集]から[ポリシー適用管理]をクリックします。
(32) [ポリシー適用管理]画面で、画面下部の即時適用の[適用]ボタンをクリックします。
クリックする
76 (33) [ポリシー適用管理]画面で、[実行]ボタンをクリックします。
(34) [編集中のルールを本番環境に適用しました]と表示されたことを確認します。
クリックする
77
(35) 続いて、[システム設定]から[情報検査機能設定]をクリックします。
GUARDIANWALL でルール編集を行った際は、ポリシー適用を実施いないと反映されませんので、 初期設定後、設定を変更した場合は、必ず、(31)~(34)の手順を実施してください。
78 (36) [情報検査機能設定]編集画面で、以下のように設定します。 設定後、画面をスクロールし[更新]をクリックします。 パスワード長︓8 入力する クリックする
79
(37) [情報検査機能設定を変更しました。]と表示された事を確認します。
(38) 続けて、[システム設定]から[基本設定]をクリックします。
クリックする 確認する
80 (39) [基本設定]編集画面で、画面をスクロールし[リッチテキスト形式のメールのテキスト変換]で、 以下のように設定します。 設定後、[更新]をクリックします。 (40) [基本設定を変更しました。]と表示された事を確認します。 選択する クリックする 内部からのメール︓変換する 確認する
81
3.7 GURADIANWALL の注意事項
損保クラウドでは、GURADIANWALL サービスの中で一部非提供の機能がございます。
お客様の管理画面上は表示されていても、以下の表でグレーアウトされた項目が利用不可となりますので あらかじめご了承ください。
82
3.8 IIJ ID と GUARDIANWALL の連携
IIJ ID から GUARDIANWALL への SAML 連携設定を行います。
(1) [3.2 IIJ ID アカウント設定のためのグループ作成]の(1)~(2)の手順を実施し、IIJ ID にログインします。 (2) [アプリケーション]から、[アプリケーションの管理]をクリックします。 (3) [アプリケーションの管理]編集画面で、[アプリケーションを追加する]リストから、 [+カスタムアプリケーションを追加する]をクリックします。 クリックする クリックする
83 (4) [カスタムアプリケーションの種類の選択]編集画面で、[SAML アプリケーション]を選択し、 [次へ進む]ボタンをクリックします。 (5) [SAML アプリケーションの追加]編集画面で、以下のように設定します。 設定後、[アプリケーションを追加する]ボタンをクリックします。 クリックする 選択する アプリケーション名︓GUARDIANWALL アプリケーションの説明︓損保クラウドメールセキュリティ アプリケーションロゴ︓以下 URL から[GUARDIANWALL ロゴ画像]をダウンロードし、設定してください。 https://support.ntt.com/insurance-agt/download/detail/pid2100000lhn ※アプリケーションロゴは設定しなくても、設定内容に支障はありません。 ID プロバイダの選択︓アプリケーション専用のエンティティ ID を利用 入力する 入力する 選択する 選択する クリックする
84 (6) [アプリケーションの管理]編集画面に、GUARDIANWALL が追加されます。 [編集する]ボタンをクリックします。 (7) [ID プロバイダ情報]タブをクリックし、画面下部の[メタデータ]の[ダウンロードする]ボタンをクリックします。 (8) [idp_metadata.xml]ファイルがダウンロードされます。 クリックする クリックする クリックする
85 (9) [3.7 GUARDIANWALL ポリシー設定]の(1)~(2)の手順を実施し、GUARDIANWALL 管理者画面に ログインします。 (10) 画面右上の[設定]ボタンをクリックします。 (11) [アカウント管理]から[セキュリティ]をクリックします。 ログインパスワードは、変更後のパスワード入力してください。 クリックする クリックする
86 (12) [セキュリティ設定] 編集画面での [SAML 認証] のチェックボックスを “ オン ” で選択してから、表示した [アプリケーション ID] と [応答 URL] の値をメモ帳などへコピーします。 (13) [IdP メタデータ]エリアで「ファイルを選択」ボタンをクリックし、 [3.9 IIJ ID と GUARDIANWALL の連携]の(7)~(8)の手順でダウンロードした、 xml ファイルをアップロードします。 ファイルを選択する コピーする コピーする “オン” を チェックする
87
(14) [IdP メタデータ]のファイルを選択した状態で画面をスクロールし、[更新]をクリックします。
(15) IIJ ID の[アプリケーションの管理]画面に戻り、[編集する]ボタンをクリックします。
クリックする
88 (16) [フェデレーション設定]タブをクリックし、[SAML 基本情報]編集画面で[SAML 情報を入力する]をクリックします。 続いて、以下のように設定します。 設定後、[変更を適用する]ボタンをクリックします。 クリックする クリックする シングルサインオン URL︓(12)の手順で取得した応答 URL エンティティ ID︓(12)の手順で取得したアプリケーション ID NameID フォーマット︓リストを展開し、以下を選択する。 urn:oasis:names:tc:SAML1.1:nameid-format-emailAddress クリックする 設定が反映され[使用可能]となるまで、20~30 分前後かかる場合がございます。 以降の手順は、[アプリケーションの管理]画面上で GUARDIANWAL が[使用可能]となってから、 実施をお願いします。 応答 URL を入力する アプリケーション ID を 選択する
89 (17) [利用者設定]タブをクリックし、[+利用者を追加する]ボタンをクリックします。 (18) [アプリケーション利用者の追加]編集画面で[Office365 一般ユーザ]をと入力します。 ※途中まで文字を入力すると予測変換され以下のように表示されるので、クリックします。 (19) [Office365 一般ユーザ]が利用者に追加されます。[マイアプリケーションへの表示]にて [アイコンを表示する]を選択し、[利用者を追加する]ボタンをクリックします。 クリックする クリックする クリックする クリックする
90
4 Office 365 セキュリティ強化設定
Office 365 のセキュリティ強化のため、Microsoft Defender を利用し、添付ファイルのポリシーや、マルウェア 検知時の管理者通知設定などを行います。 (1) Office 365 に管理者アカウントでログインし、「Microsoft365 管理センター」 を開きます。 ※ログイン方法は、[2.1 独自ドメインの登録]の(1)~(6)の手順をご覧ください。 (2) 「Microsoft 365 管理センター」 の左側メニュー一覧にて [すべてを表示] 、展開した項目より [セキュリティ] の順にクリックしていきます。 (3) 遷移した Microsoft 365 Defender の画面の左側メニュー一覧 [メールとコラボレーション] の項目より、 [ポリシーとルール] をクリックします。 クリックする クリックする [ポリシーとルール] をクリックする
91 (4) [ポリシーとルール]の画面内より [脅威ポリシー] の箇所をクリックします。
(5) [脅威ポリシー] 画面内の [安全な添付ファイル] の箇所をクリックします。 (6) 遷移した [安全な添付ファイル] 画面の上部メニュー一覧より [+ 作成 ] の箇所をクリックします。 [脅威ポリシー] を クリックする [安全な添付ファイル] をクリックする [ + 作成 ] をクリックする
92 (7) [ポリシーの名前を設定] 画面の [名前] 箇所に ” 添付ファイルポリシー① ” と入力し、[次へ] を クリックします。 (8) [ユーザーとドメイン] の画面に遷移した際の [ドメイン] 項目の入力箇所に、“ 2.1 独自ドメインの登録 ” の章で登録した損保クラウドサービスで利用するドメイン名を入力します。 入力したドメイン名の直下に Office365 側が認識した登録済みのドメイン名の候補が “おすすめのドメイン” として表示するので、対象ドメインの箇所をクリックして確定後に [次へ] をクリックします。 ” 添付ファイルポリシー① ” と入力する クリックする 登録済の ドメイン名を 入手する ドメインの箇所が確定後に [次へ] をクリック 候補として表示している ドメイン名の箇所をクリック
93 (9) [設定] の画面が表示されるので、以下の内容を実施後に [次へ] をクリックします。 (10) 設定の確認内容が表示されるので、内容に問題が無ければ [送信] をクリックします。 [動的配信] の箇所をクリック [送信] をクリック [次へ] をクリック [タイムアウトやエラー などで~ ] の箇所 は “チェックを外す”
94 (11) 添付ファイルポリシーが作成された旨のメッセージが表示されるので、[完了] をクリックします。 (12) 作成した [添付ファイルポリシー①] が一覧が画面に追加され表示されるので、上部メニュー項目より [グローバル設定] をクリックします。 (13) 表示した 「グローバル設定」 の画面より、[SharePoint、OneDrive、Microsoft Teams に対して
Microsoft Defender for Office 365 を有効にする] を有効に変更後に [保存] をクリックします。
クリックする [グローバル設定] をクリックする スライド箇所を 有効(青色) で設定する クリックする
95 (14) [添付ファイルポリシー①] が表示している一覧画面に戻るので、画面上部の [脅威ポリシー] をクリックします。 (15) 遷移した [脅威ポリシー] 画面内の [マルウェア対策] の箇所をクリックします。 (16) [マルウェア対策] の画面内にあらかじめ登録されている [Default(規定)] の箇所をクリックします。 クリックする [マルウェア対策] を クリックする [Default(規定)] をクリックする
96 (17) 「Default(規定)」の画面が表示するので、画面下部までスクロールし [保護設定を編集] をクリックします。 (18) [保護設定を編集] の画面に遷移するので、以下項目の入力とチェック後に [保存] をクリックします。 [保護設定を編集] をクリックする [マルウェアのゼロアワー自動を 消去を有効にする] (推奨) をチェック [内部の送信者からの配信さ れなかったメッセージについて 管理者に通知する] をチェック [外部の送信者からの配信さ れなかったメッセージについて 管理者に通知する] をチェック 通知先として指定したい管理者 のメールアドレスを入力 通知先として指定したい管理者 のメールアドレスを入力 最後に [保存] をクリック
97 (19) 前項で編集し反映した 「Default(規定)」 の設定内容が表示するので、内容に問題が無い場合には [閉じる] をクリックし作業を終了します。 [閉じる] を クリックする 設定修正したい場合 は[保護設定を編集] を クリック
98
5 IIJ ID 管理者アカウントの通知先メールアドレスの変更
IIJ ID の管理アカウントの通知先メールアドレスを変更する手順をご案内します。 パスワードリセットは管理コンソールにて変更、または、ログイン画面から「パスワードを忘れた場合」にて実施が可能と なりますが、初期状態では、弊社の構築時作業用メールアドレスとなっており、設定変更せずにパスワードリセットを 行うと、お客様側に通知されず、ログインができなくなってしまいますので、必ず実施してください。 通知先を変更しないままパスワードリセットを実施し、ログイン不可となった場合は、お申込書による有償対応となり ますので、ご注意ください。 (1) [3.2 IIJ ID アカウント設定のためのグループ作成]の(1)~(2)の手順を実施し、IIJ ID にログインします。 (2) IIJ ID の管理者画面から、[アカウント]-[ユーザの管理]をクリックします。 (3) [ユーザの管理]画面から、管理者アカウントの ID の[編集]ボタンをクリックします。 クリックする クリックする99 (4) [ユーザの編集]画面が表示されます。[通知先メールアドレス]に設定されているメールアドレスを管理者様のメール アドレスに変更します。設定後、[プロフィールを更新する]ボタンをクリックします。 メールアドレスを変更する 設定する通知先メールアドレスは、損保クラウドで利用されているドメイン以外のメールアドレスを設定する事を 推奨しております。 クリックする
100
6 ログイン履歴保持期間の変更
ユーザアカウントのログイン保持期間の日数変更の手順についてご案内します。 (1) IIJ ID の管理者画面から、[レポート]-[ログイン履歴]をクリックします。 (2) [ログイン履歴]画面が表示されます。[ログイン履歴の保持期間]の[編集]ボタンをクリックします。 クリックする クリックする101 (3) [ログイン履歴の保持期間の変更]画面が表示されます。保持期間を[90 日]に変更します。 変更後、[変更を適用する]ボタンをクリックします。 (4) [ログイン履歴の保持期間]が、90 日に変更されていることを確認します。 変更する クリックする
102
7 多要素認証設定の確認および変更
最後に、多要素認証設定の確認および変更手順をご案内いたします。
(1) Office 365 へ管理者権限でログインし、Microsoft 365 管理センターから、[Azure Active Directory]を クリックします。
Microsoft 社の仕様変更により、一部のテナントにて、Azure Active Directory の [セキュリティの既定値の有 効化] が既定で有効となっていることを確認しております。 その場合、各ユーザーがサインインする際に [詳細情報が必要] 画面が表示され、14 日以内に Microsoft Authenticator アプリケーションによる認証が求められ、電話認証および SMS テキストメッセージでの多要素認証 設定を選択することができない動作となります。 認証アプリ以外の検証オプションを利用する場合につきましては、[セキュリティの既定値の有効化] の機能を無効 化していただいた後に、多要素認証を利用するユーザーの多要素認証を有効にしていただくことで、認証アプリ以外 の検証オプションを利用することが可能です。 以下に [セキュリティの既定値の有効化] 機能を無効化する手順をご案内いたしますので、 該当する場合は、設定変更を行ってください。 クリックする
103 (2) [Azure Active Directory 管理センター]が表示されます。
[Azure Active Directory]をクリックします。
(3) [Azure Active Directory 管理センター]が表示されます。 [プロパティ]をクリックします。
クリックする
104 (4) [ディレクトリのプロパティ]が表示されます。 [セキュリティの既定値の管理]をクリックします。 (5) 画面右側に[セキュリティの既定値の有効化]が表示されます。 ・セキュリティの既定値の有効化が、[いいえ]となっている場合 特に作業を行う必要はありません。そのまま画面を閉じてください。 ・セキュリティの既定値の有効化が、[はい]となっている場合 [いいえ]に変更し、チェックボックスにチェック後、[保存]ボタンをクリックします。 ※本手順書でのチェックは例となります。 クリックする クリックする クリックする [いいえ]にする
105
