OWAで受信した添付ファイルを3rdパーティー製クラウドストレージに保管できてしまう

件名のような驚きの機能がリリースされました。以下、マイクロソフト社のリリース全文です。

Microsoft 365 ロードマップ | Microsoft 365

We’re updating how 3rd party storage providers work in Outlook on the web. To offer an enhanced experience and easier management we are retiring the ThirdPartyFileProvidedrsEnabled and OneDriveAttachmentsEnabled parameters and replacing them with the new AdditionalStorageProvidersAvailable parameter.

This message is associated with Office 365 Roadmap ID 52597.

This feature is not available for Office 365 subscriptions in GCC.

How does this affect me?
This update includes the following changes:

The parameter ThirdPartyFileProvidrsEnabled will no longer control 3rd party storage providers
The parameter OneDriveAttachmentsEnabled will no longer control OneDrive for personal accounts
The new parameter AdditionalStorageProvidersAvailable adds additional 3rd party storage providers to the ones you had before in Outlook on the web, new providers include OneDrive for personal accounts, Google Drive, and Facebook.
This new paramater will be set to $True (“on-by-default") starting on August 15 for Targeted Release customers and 8/30 for Standard Release customers.
The parameter will be available for you to change it in late July, and the change in the availability of 3rd party storage providers will be gradually rolling out to Targeted Release customers on August 15, and to Standard Release customers on August 30.

Note: OneDrive for Business is not affected by this change or included in this new parameter.

What do I need to do to prepare for this change?
If you want your users to have access to 3rd party storage providers in Outlook on the web, there is nothing you need to do. They will see the providers when we make the update.

If you don’t want your users to have access to 3rd party storage providers in Outlook on the web that are not part of your Office 365 commercial subscription, then:

1. If you are in Targeted Release – Before August 15 you will need to make a change in the set-OwaMailboxPolicy cmdlet using PowerShell.

2. If you are in Standard Release – Before August 30, you will need to make a change in the set-OwaMailboxPolicy cmdlet using PowerShell.

Please, read the additional information link to learn what parameters you need to change from $true to $false in set-OwaMailboxPolicy.

この機能、実は以前よりOWAに実装されていましたが、規定値がOFFなのであまり気にされてこなかったもの。今回は、パラメーターが一新され、規定値がONの状態でリリースされるとの事で、問題と感じます。

実際の動作(想定)

現状、まだ機能がリリースされていないため想定ですが、現状でも3rdパーティー製クラウドストレージへの認証情報入力はできますので、以下のようにOWAの設定画面より認証してみます。認証に成功すると、添付ファイルの保存先として3rdパーティー製クラウドストレージを選択できます。以下の図はとあるテナントで機能を有効にし、Dropboxの認証を設定した状態。

Dropbox側にもばっちり連携出来てます。

現状、添付ファイルをそのまま保管する事はできませんが、3rdパーティー製ストレージのファイルを添付ファイルとして送信することができます。

制御方法

先行リリース有効なテナントは8/15まで、通常テナントは8/30までに

Set-OwaMailboxPolicy -id [ポリシー名] -AdditionalStorageProvidersAvailable $false

を実行すれば機能をOFFにできます。手元のテナントでコマンドを発行しましたが、見た目は何も変わってません。先行リリーステナントでも8/15に機能がリリースされるので、それ以降に検証することになりそうです。

おそらくですが、OWAで3rdパーティー製ストレージの認証情報を入力できなくなるのかな…。

問題点

そこそこの規模の企業だと、情報流出対策として許可されていないクラウドストレージにデータが保管できないような対策を行っています。今回のアップデートはその対策に穴をあけるような機能であり、セキュリティインシデントの原因となる可能性があります。しかも、アナウンスからリリースまでが1か月弱と短く、短期間で対応する必要があります。

最近のマイクロソフト社はこの手の機能をリリースする際は規定値OFFかつアナウンス期間も長めに取っていたのに、今回の変更は規定値ONかつ急なリリースで驚いています。どういう力学でそうなってしまうのか…。

Posted by tera