[Skype for Business Online] フェデレーションユーザーとの P2P ファイル転送を禁止する (ExternalUserCommunicationPolicy のリリース)

Article
06/23/2017

Japan Lync/Skype Support チームの和気です。

Skype for Business Online で新しいポリシー "ExternalUserCommunicationPolicy" が利用できるようになりました。
このポリシーでは、これまで要望の多かったフェデレーションユーザー (外部組織のユーザー) との P2P セッションにおけるファイル転送の制限を実現可能です。

※ なお、こちらはあくまでも、ユーザー同士のファイル転送を禁止するポリシーであり、外部ユーザーが会議参加を行った場合にファイル転送を禁止する設定ではございませんのでご注意ください。

今回は、この新しいポリシー、およびこのポリシーを使ってフェデレーションユーザーとの P2P ファイル転送を禁止する方法についてご紹介したいと思います。

ExternalUserCommunicationPolicy とは

External User = フェデレーションユーザーとの通信を制御するポリシーとして、新しく ExternalUserCommunicationPolicy が追加されました。
他のポリシーと同様に New/Get/Set/Grant/Remove-CsExternalUserCommunicationPolicy コマンドレットで、新規作成や変更、ユーザーへの割り当てなどが可能です。

ポリシーには、以下の設定項目が含まれますが、現時点でカスタマイズ可能な項目は "EnableP2PFileTransfer" の 1 項目のみとなっています。また、この "EnableP2PFileTransfer" で、フェデレーションユーザーとの P2P セッションにおけるファイル転送を制限することが可能となっています。

フェデレーションユーザーとの P2P ファイル転送を禁止する

情報漏洩を防ぐため外部組織のユーザー (フェデレーションユーザー) とのファイル転送は禁止したい、といったシナリオはよくあるかと思います。
このシナリオに対し、これまでは会議ポリシー (ConferencingPolicy) で EnableP2PFileTransfer = False を設定し、すべての P2P セッションにおけるファイル転送を禁止する方法しかありませんでした。この場合、組織内のユーザー同士のファイル転送についても禁止されてしまいます。

新しい ExternalUserCommunicationPolicy では、外部組織ユーザーとのファイル転送 "のみ" を禁止することが可能となりました。

この制限を実現するには、具体的には以下の 2 つのポリシー設定を行います。

会議ポリシー (ConferencingPolicy) で EnableP2PFileTransfer = True を設定する
ExternalUserCommunicationPolicy で EnableP2PFileTransfer = False を設定する

前提条件

ExternalUserCommunicationPolicy の EnableP2PFileTransfer による制御は、以下のバージョンの C2R 形式の Skype for Business 2016 デスクトップクライアントで動作します。

上記条件を満たさない以下のクライアントをユーザーが利用している場合、ExternalUserCommunicationPolicy の EnableP2PFileTransfer の設定は動作せず、会議ポリシーの EnableP2PFileTransfer の設定に従って動作します。つまり、これらのクライアントをユーザーが利用した場合、今回紹介した設定を行っていても、会議ポリシーの EnableP2PFileTransfer = True の設定に従った動作となり、フェデレーションユーザーに対してファイル転送ができてしまいます。

Lync 2010 / Lync 2013 / Skype for Business 2015 デスクトップクライアント (MSI 版/C2R 形式)
Skype for Business 2016 デスクトップクライアント (MSI 版)
上記バージョンより古いバージョンの Skype for Business 2016 デスクトップクライアント (C2R 形式)
Lync for Mac 2011 / Skype for Business on MAC

これを防ぐためには、組織内で利用されているクライアントのバージョンを確認し、適宜バージョンアップを実施いただくようお願いいたします。

動作イメージ

実際の動作を画面と一緒に紹介したいと思います。

自組織ユーザー (右側、設定実施済み) から自組織ユーザー (左側) にファイル転送・・・転送可能

自組織ユーザー (右側、設定実施済み) からフェデレーションユーザー (左側) にファイル転送・・・転送不可

自組織ユーザー (右側、設定実施済み) がフェデレーションユーザー (左側) からファイル転送を受ける・・・受信可能

設定方法 - 組織全体で P2P ファイル転送を禁止する

個別に ExternalUserCommunicationPolicy の割り当てを行っていないユーザーでは、Global スコープのポリシー設定が有効となります。したがって、組織全体で P2P セッションにおけるファイル転送を禁止する場合は、Global スコープのポリシーを変更します。

コマンドレットは以下の通りとなります。

> Set-CsExternalUserCommunicationPolicy -Identity Global -EnableP2PFileTransfer $false

設定方法 - ユーザー単位で P2P ファイル転送を禁止する

ユーザー毎に P2P セッションにおけるファイル転送を許可/禁止する場合は、P2P セッションにおけるファイル転送を禁止する新しい ExternalUserCommunicationPolicy を作成します。そして、禁止したいユーザーにポリシー割り当てます。

コマンドレットは以下の通りとなります。

/// 新しい ExternalUserCommunicationPolicy を作成 (ポリシー名は "CustomPolicyDisableP2PFT" としてみましたが、任意の名前を使用できます)
> New-CsExternalUserCommunicationPolicy -Identity CustomPolicyDisableP2PFT -EnableP2PFileTransfer $false

/// ユーザー (ここでは user@contoso.com とします) に新しく作成したポリシー "CustomPolicyDisableP2PFT" を割り当て
> Grant-CsExternalUserCommunicationPolicy -Identity user@contoso.com -Policyname CustomPolicyDisableP2PFT

/// 正しくポリシーが割り当てられていることを確認 (この手順は省略可能です)
> Get-CsOnlineUser -Identity user@contoso.com | fl SipAddress,DisplayName,ExternalUserCommunicationPolicy

ファイル転送によるリスクが懸念される、しかし組織内ユーザーとのやり取りでなるべく制限を設けたくない (利便性を良くしたい) という場合には、有効な手段となります。ぜひ、ご要件に応じて、利用を検討いただければと思います。

＜参考＞

Title : Update on Custom Policies in Skype for Business Online
URL : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Update-on-Custom-Policies-in-Skype-for-Business-Online/ba-p/69850

Title : Block Point-to-Point file transfers in Skype for Business Online
URL : https://support.office.com/en-us/article/9adf9859-de5b-461e-92ea-b6ce4dd2f7c1

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

[Skype for Business Online] フェデレーション ユーザーとの P2P ファイル転送を禁止する (ExternalUserCommunicationPolicy のリリース)