Microsoft 365(Office 365)でホワイトボードアプリのMiroを使用する

リモートワークの2大問題として

  • 雑談時間が少なくなる
  • ブレスト多めの発散系のMTGがし辛い

というのがあります。ブレスト多めの発散系MTGで特に使うのはホワイトボードですが、リモートワーク環境下だと物理ホワイトボードが使えないのが問題になります。よって、オンラインで使えるデジタルホワイトボードを使う方法を検討します。

※ 雑談問題はここでは取り上げません

Microsoft Whiteboard vs Miro

Windows10標準で"Microsoft Whiteboard"というアプリがありこれでもいいのですが、せっかくなので他に良さそうなものを調べてみました。結果、"Miro"というホワイトボードが評判よい事が分かりました。

Miro | Free Online Collaborative Whiteboard Platform

Microsoft Whiteboardとの違いなのですが、デフォルトでカンバン形式やマインドマップなどホワイトボードのテンプレートが用意されているので、いろいろな用途で使える、という事でしょうか。正直、万能すぎる。

テンプレめっちゃある。

こいつはカンバン

こいつはマインドマップ

Microsoft Whiteboardに比べて多機能な分、慣れが必要なのとちょっとマシンスペック必要かな…という場面がありますが、これ1つでいろんな領域をカバーできるのでこのオンラインMTGのご時世だとかなり助かるツールかなと思います。

miroの使い方

TOPページからSignup freeを選択するとアカウント登録画面に飛びます。

Office 365 というアイコンがあるのでクリックすると、Office 365 のログイン画面に飛ばされます。

そのままOffice 365 でログイン済みのアカウントと選択するだけでmiroを使い始める事が出来ます。非常に簡単。

そしてプロパティを確認すると、会社で登録されている私の氏名とメールアドレスも自動入力されています。※ モザイクをかけています

これ、miroがOffice 365 とOAuth連携しているので、Office 365 のID/Passwordを入れるだけでログインができ、プロファイル情報も取得できている、というわけです。

システム管理者にとっての問題

さて、ここからが本題なのですが…。上記で見た通り、miroとOffice 365 はOAuth認証連携しているので、ユーザーが許可するとmiro側にOffice 365側のプロファイルが自動的に連携されます。今回、miroはメールアドレスと氏名くらいしか取得していないようですが、悪意のあるツールであれば会社名や役職名、電話番号など、ユーザーが外に出そうと思っていない情報も取っている可能性がある。

ログインフォームで会社のメールアドレスとmiro用のパスワードを入力してmiro側にアカウントを作ればそんな問題は発生しないですが、一般ユーザーはそんなの知りっこないので、Office 365のアイコンをクリックしてOAuth認証を進めてしまう、というわけ。

実際に、同じようにOAuth連携を採用しているtwitterではこんな問題が発生しています。

また、Microsoft社もこういう注意を出しています。

不法な同意の付与を検出して修復する – Office 365 | Microsoft Docs

ということで、次の記事では

  • 悪意のあるアプリに対してOAuth認証を許可してしまった時にキャンセルする方法
  • システム管理者がOAuth認証連携そのものを禁止する方法

を書きます。

Posted by tera