■【1. 全体概要と結論】■
本SRでは、Windowsのログインまたはシャットダウンスクリプトを使用して、Microsoft 365 Appsからの強制サインアウトを実現する方法についての調査結果。
主な懸念は、共用端末などで前のユーザーがサインアウトを忘れることにより、次にログインしたユーザーがOneDriveデータなどの個人情報にアクセスできてしまうセキュリティリスクの解消。
関連サービス
- Microsoft 365 Apps
- OneDrive
- Windows OS
主要な課題
- 強制サインアウトの実現方法
- 前ユーザーのキャッシュ情報削除によるセキュリティ向上
全体の回答結論
OLicenseCleanup.vbs スクリプトを利用し、OSのシャットダウン時またはログイン時に実行するよう設定することで、Microsoft 365 Appsのライセンス情報およびキャッシュされたアカウント情報を削除し、強制的なサインアウト状態を作り出すことが可能。
■【2. 調査結果】■
【2.1. 問題1:Microsoft 365 Appsからの強制サインアウト方法】
調査したこと
Windowsのログインまたはシャットダウンスクリプトを使用して、Microsoft 365 Appsからのサインアウトを強制することは可能か。前のユーザーがサインアウトを忘れることで、次のユーザーがOneDriveデータなどを見られてしまう懸念を解消したい。
- 発生事象
- 前のユーザーがサインアウトを忘れることで、次のユーザーが前ユーザーのOneDriveデータなどを閲覧できてしまうセキュリティ上の懸念。
- 関連環境
- Windows OS上で動作するMicrosoft 365 Apps
- OneDriveを含むクラウドストレージサービス
調査結果
Microsoft 365 Appsでは、OLicenseCleanup.vbs スクリプトを使用することで、以前のライセンスとキャッシュされたアカウント情報を削除することが可能。このスクリプトをシャットダウン時や起動時に実行するよう構成することで、実現可能。
- 根本原因と技術解説
- Microsoft 365 Appsは、利便性のためにライセンス情報やキャッシュされたアカウント情報を端末内に保持する仕様がある。共用端末において前ユーザーが明示的にサインアウトしない場合、これらの情報が残存し、後続のユーザーがアクセス可能な状態となる。OLicenseCleanup.vbsは、これら残存する認証情報をクリーンアップするための公式ツールとなる。
- 対応策/手順
- スクリプトをWindowsのグループポリシー(GPO)またはタスクスケジューラを用いて、シャットダウン時またはログイン時に実行するよう設定する。
- OLicenseCleanup.vbs スクリプトを取得。
- スクリプトをWindowsのグループポリシーまたはタスクスケジューラで設定。
- シャットダウン時またはログイン時にスクリプトを実行するよう設定。
- スクリプトをWindowsのグループポリシー(GPO)またはタスクスケジューラを用いて、シャットダウン時またはログイン時に実行するよう設定する。
コメント