MDOの安全なリンク機能について
概要
Exchange Onlineメール、Teamsメッセージ、Office 365 Appsで開いたドキュメント等に含まれている危険なURLをユーザがクリックした際に、アクセスを止めてくれる機能です。
以下のような画面がブラウザに表示されます(https://apc01.safelinks.protection.outlook.com/~というURLにリダイレクトされます)
対象のサービス
以下は、安全なリンクポリシーの設定画面ですが、大きく3つに分かれます。
①メール、②Teams、③Office 365 Apps
(補足)③Office 365 Apps
これはデスクトップ版のOffice アプリだけではなく、WEB版も含みます。
https://learn.microsoft.com/ja-jp/defender-office-365/safe-links-about
動作概要
URLの書き換えが行われるか否か、また、スキャン方法は、①②③によって変わります。
スキャン方法は、「安全なリンクAPI」を利用する方法と利用しない方法があります(「安全なリンクAPI」を利用するかしないかは、MDOの内部的なスキャンエンジンの利用方法の差異があるくらいであり、あまり意識しなくてもよいかと思います)
①メール
・URL書換する&安全なリンクAPI以外のスキャン
・URL書換しない&安全なリンクAPIによるスキャン
②teams&③Office 365 Apps
・URL書換しない&安全なリンクAPI以外のスキャン
URL書換のメリット/デメリット
メリット
・ユーザが、危険なURLをコピーして、どこかに張り付けてしまうようなシナリオ(たとえば、同僚にリンクを共有するようなシナリオ)では、URL自体を書き換えないと、危険なURLが、蔓延してしまうリスクがある(URL書換をすると、このリスクを除外できる)
デメリット
・書き換えられたURLは長い文字列になるため、URLを他の人に共有するようなシナリオで扱いづらくなる
URL書換動作の補足
メールに含まれる URL が危険なURLでない場合でも、URL の書き換えは行われます(危険と判定されたURLのみが、書換られ訳ではありません)
試験方法
次の公開情報より URL が記載されています。このURLを使うことで、安全なリンク機能を試験できます。
~~~~~ 抜粋ここから ~~~~~
~~~~~ 抜粋ここまで ~~~~~
<正常な動作を確認する方法>
https://learn.microsoft.com/ja-jp/defender-office-365/safe-links-policies-configure#how-do-you-know-these-procedures-worked
動作確認結果
一部のシナリオで動作確認をしてみました。
設定は以下としています。
メール
外部 → 内部
外部(gmail)から、安全なリンクポリシーの対象者に危険なURL(試験用)のメールを送付しました。
以下は、受信側のOutlook Webの画面です。一見、URLは書き換わっていないように見えますが、右クリックで実際のURLを確認すると、https://apc01.safelinks.protection.outlook.com/~となっていました。
内部 → 外部
送信済みフォルダの内容です。こちらもURLは書き換わっていないように見えますが、右クリックで実際のURLを確認すると、https://apc01.safelinks.protection.outlook.com/~となっていました。
以下は、外部のgmailで受信したメールです。リンクを右クリックしてみても、URLは書き換わっていなかったです(URLの書き換えは、ExO内部に存在するメールのみが対象になっていることがわかります。ちなみにExO内部のメールについても、安全なリンクポリシー適用前に配信されたメール内のURLは書換られません)
Teams
Teamsのチャットに危険なURLを貼ってみました。
こちらは右クリックしても、URLは書換られていませんでした(想定通り)。
このURLをクリックすると、一瞬以下のURLにリダイレクトされます。
最終的には、https://apc01.safelinks.protection.outlook.com/~にリダイレクトされ、以下のページが表示されました。
その他
安全なリンクAPIが機能しないケース
1.安全なリンクAPIがサポートされていないOutlookを利用している
サポートされているバージョンの Outlook (Windows、Mac、Outlook on the web) にて、メール内の URL クリック時に API を介して安全なリンクが呼び出され、スキャンが行われます。
2.プライベートブラウザを利用している
ブラウザ種類を問わず、プライベートブラウザ系では、「安全なリンク API」は利用できません(MSサポートに確認) ★ハンズオン研修ではよくプライベートブラウザを利用するケースが多いと思いますので、注意が必要です。
3.ブラウザのキャッシュの影響
ブラウザのキャッシュ情報の残存により、安全なリンクが正常に機能しない場合があります。ブラウザのキャッシュ クリアを行い、ブラウザの再起動後に動作を確認してみましょう。
4.パブリックフォルダーの場合
安全なリンクAPIは、メールが有効なパブリック フォルダーでは機能しない制限があります。パブリック フォルダーではなく、ユーザーのメールボックスで動作を確認してみましょう。
リアルタイムスキャン(メールのみ対象)について
以下の設定項目が関連しています。
■リアルタイムスキャンとは
メール受信前にメール本文のリンクもしくはリンクが指しているファイルに脅威がないかをチェックする保護機能です。脅威が見つかった場合はメールが配信されません。
■「URL スキャンが完了するまで待ち、その後でメッセージを配信します。」ここにチェックを入れなかった場合の動作
一定時間経過してもスキャンが完了しない場合において、メールが配信されます。リンクもしくはリンクが指しているファイルなどメールによってはスキャンに時間がかかる場合があります。一定時間経過してもスキャンが完了しない場合において、受信者への配信を優先したい場合は、本設定項目を無効にします(MSとしては有効を推奨しています) ★一定時間が具体的にどの程度の時間かは、公開されていないとのことでした(MSサポートに確認)
~~~~~ 引用 ここから ~~~~~
疑わしいリンクやファイルを指すリンクのリアルタイム URL スキャンを適用します: ダウンロード可能なコンテンツを指しているメール メッセージ内のリンクなど、リンクのリアルタイム スキャンを有効にします。 推奨値は選択 (オン) です。
- URL スキャンが完了するまで待ち、その後でメッセージを配信します:
- 選択 (オン): URL を含むメッセージは、スキャンが完了するまで保持されます。 メッセージは、URL が安全であることが確認された後にのみ配信されます。 この値は推奨値です。
- 未選択 (オフ): URL スキャンを完了できない場合には、メッセージが配信されます。
~~~~~ 引用 ここまで ~~~~~
<メール メッセージの安全なリンク設定>
https://learn.microsoft.com/ja-jp/defender-office-365/safe-links-about?view=o365-worldwide#safe-links-settings-for-email-messages
■「URL スキャンが完了するまで待ち、その後でメッセージを配信します。」ここにチェックを入れた場合、何かしらの理由で、URLスキャンが完了しなかった場合、永久にメールは配信されないのか
URLスキャンの機能の中に内部的にタイムアウトの値が設定されており、その時間に達した場合は、URLスキャンが完了していない場合でも、最終的にはメールは配信されるようです(MSサポート確認)
スキャンが進行中であることや、何らかのエラーにより完了できない場合にメールのリンクを押下した場合の画像イメージについては次の公開情報に記載されています。
<安全なリンクからの警告ページ>