Share
flower 8559381 1280

MC718754 Retirement of RBAC Application Impersonation in Exchange Online要約

  • 2024年2月27日

ApplicationImpersonationロールを利用したExchangeの役割ベースアクセス制御(RBAC)が、
5月からリタイア開始し、来年2月に完全に消えるとのことです。

そもそも ApplicationImpersonation とはなにかというと、サービスアカウントが組織内のすべてのユーザーとして偽造したり、特定のグループ/ユーザーに偽装することが出来るという機能です。

基本的にはこれがEWSで簡単に一つのアカウントで複数のメールボックスにアクセスする手順だったのですが、MSのプラットフォーム/アプリケーションモデルとして、複数のメールにアクセスする必要があるアプリに対して、単純にそれを許可するという権限を割り振る方がよりシンプルである、というのが変更の理由とされています。

しかし、そもそもMSのフォーラムを見た所、Midnight Blizzardというロシア政府公認のハッカー集団からサイバー攻撃を受けたというニュースがこれらの変更の背景にあるらしく、今後はこういったセキュリティの変更が増える可能性が高いです。

https://www.microsoft.com/en-us/security/blog/2024/01/25/midni

https://gigazine.net/news/20240121-microsoft-email-hack-russian-intelligence-group/

まあ笑い事ではないのですが、MSが制定している脅威アクターの呼び方一覧がちょっと中二心をくすぐられます。

https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-threat-actor-naming?view=o365-worldwide

ちょっとあまり明るくない分野なので具体例は出せないのですが、従来のApplicationImpersonationロールで出来ていた一部のことができなくなる可能性があるという書き込みもあり、要検証かと思われます。とはいえ、サイバー攻撃対策なので多少の不便は受け入れざるを得ないという状況ですね。