Microsoft delays Exchange Online CARs deprecation until 2024
2023/04/08 BleepingComputer — 今日に Microsoft は、Exchange Online における Client Access Rules (CAR) の非推奨化を1年延期し、2024年9月までにすると発表した。Microsoft 365 の管理者は、優先値/例外/アクション/条件などで構成される CAR を利用して、Exchange Online へのクライアント・アクセスを、様々な要素でフィルタリングしてきた。これらの要素には、クライアントの IP アドレスや認証タイプ/接続を確立するために使用する、プロトコル/アプリケーション/サービスなどが含まれる。これらは一度コンフィグレーションが行われると、組織内の Exchange Online リソースへのアクセス制御に役立つ。
2022年9月の発表では、この旧来からの Exchange Online のアクセス・ルールは、2023年9月までに段階的に廃止されるはずだった。しかし翌月に Microsoft は、Azure Active Directory (AAD) の Conditional Access (CA) や、Continuous Access Evaluation (CAE) といった、より安全な代替手段への移行を促進するために、CAR が使われていないテナントでは、CAR のコマンドレットを無効にしていた。
段階的な廃止を延期するには、適切なサポートが不可欠である。そして、当初に定めた期限までに、 一部の CAR を Azure AD CA/CAE に移行できないケースがあったようだ。
4月7日 (金) に The Exchange Team は、「顧客による CAR を利用形態を理解し、また、新しい機能への移行を検討するために協力してきたが、現在のルールを移行することが不可能な、いくつかのシナリオにも遭遇した。これらのシナリオについては、サポートが可能になるまで、先に発表した 2023年9月の期限を延期して、CAR の使用を許可する」と述べている。
Microsoft は、2024年の最終的な期限を迎えるまでに、サポート・チケットを通じて、CAR を新しいアクセス制御オプションへと移行するための支援を行うとのことだ。
The Exchange Team は、「CAR から CA/CAE への移行には、ある程度の計画とテストが必要であることを理解している。CAR への移行が不可能な、技術的な理由がある場合は、サポート・チケットを開いてほしい」と述べている。
2022年9月に Microsoft が説明したように、古い Exchange Online のアクセス・ルールから条件付きアクセスに切り替えると、テナント・ポリシーの変更を、ほぼリアルタイムで確実に実施できる。つまり、アクティブなユーザー・セッションであっても、効果的に終了させることにで、さらなる回復力が加わることになる。
また、2022年10月1日から Microsoft は、Exchange Online のセキュリティを強化するために、テナントで段階的にベーシック認証が無効になることを、顧客に警告している。この警告は、同社が過去3年間に出した複数の注意喚起に続くものであり、最初のものは 2019年9月に発表されている。
Microsoft Exchange Online と安全にするための、Azure AD CA への移行が遅れているようです。同様の動きは、2022/09/01 の「Microsoft Exchange Online のベーシック認証が終了:10月1日から無効化が始まる」で紹介されていますが、フィルタリング・ルールが対象となると、そう簡単にはいかないようです。よろしければ、Exchange で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.