2016年3月11日金曜日

【Google Apps専用】Google Appsアカウントにおける「安全性の低いアプリからのアクセス」の挙動について

ここ最近、ThunderbirdのPOP3受信において「安全性の低いアプリからのアカウントへのアクセスを許可する」が必要になる案件が出てきました。何故かなと思って調べると、ヘルプにその理由を探すことができました。ただややこしいので確認の上、その挙動について理解できたため、備忘録を込めて記事にしておきます。

なお安全性が低いと判断される基準については、安全性の低いアプリからのアカウントへのアクセスを許可する(Google Appsヘルプ)を参考にしてみてください。

なお現在のルールについては、2015年9月16日に管理コンソールの「安全性の低いアプリへのアクセス」のデフォルト設定が「有効→無効」に変わったことで、90日ルールというのが別途定めされています。このあたりから話がややこしくなって整理をこめて本ブログを書いたのでした。

管理コンソールで無効にした場合の挙動



Google Apps管理者によって管理コンソール上で「安全性の低いアプリへのアクセスをすべてのユーザーで無効にする」に設定するということ(組織別で設定変更可)。
  • ユーザーが「安全性の低いアプリからのアカウントへのアクセスを許可」していたとしても、設定は強制的に無効化される。
    ※接続中の場合にはそのタイムアウトをもって無効化されます。
この状態で
>Functionality not enabled. 
と拒否される可能性あり(Gmailの差出人追加等でSMTPを使う場合)

従って無効にする際には事前にユーザーに通知である可能性が高いと思います。突然アクセス不可(電子メール等)になり、混乱を招くためです。

例外:アカウントを新規作成して24時間以内に一定条件を満たした場合

  • アカウントを新規作成して24時間以内に「安全性の低いアプリからのアカウントへのアクセスを許可」が必要なログインがあった場合には、管理コンソールでの無効設定設定有無に関わらず、アクセスは許可されたままとなる。
という挙動になります。

例外の活用


普段は無効にするが、24時間以内にアクセスがあれば許可しましょうには良い点と悪い点があります。

  • 良い点
     管理コンソールにログインできる特権管理者が、ユーザーの電子メールソフト(安全性の低いアプリからのアクセスが必要なケース)の設定を行う場合です。
  • 悪い点
     意図せず安全性の低いアプリからのアクセスを許してしまうということです。

これについてはアカウント作成後、24時間はアカウントを手渡さないというルールを決めておけば十分防げるのでなんとでもなるかなと思います。

アカウントを新規作成してから24時間以内にアクセスがない場合

安全性のアプリからのアクセスがない場合には、管理コンソールでの設定如何に関わらず、「安全性の低いアプリからのアクセス」は「拒否」設定になります。

ここが大きい所ですね。

また利用者がいる場合でも、管理コンソールで無効化すると一定時間後に安全性の低いアプリからの接続が遮断されますので注意。

また、この機能がリリースされる前は「有効」が既定、リリースされた後にGoogle Appsを契約した場合には、「無効」が既定になっているので注意です。

管理コンソールにて本機能がリリースされる前の既存ユーザーの90日ルール


管理コンソールにおいて、安全性の低いアプリからのアカウントへのアクセスを許可するの設定がリリースされる前の既存のユーザーについては、次のルールが自動適応されます。2016年3月現在では、すでにすべてのユーザーで適応済みだと思います。

  • 機能がリリースされた日から過去90日以内に既存ユーザーが安全性の低いアプリからのアクセスをした場合、「安全性の低いアプリからのアカウントへのアクセスを許可する」は有効になります。
  • 機能がリリースされた日から過去90日以内に既存ユーザーが安全性の低いアプリからのアクセスがなければ、「安全性の低いアプリからのアカウントへのアクセスを許可する」は無効(拒否)になります

管理コンソールから、本機能を許可した場合


安全性の低いアプリからのアカウントへのアクセスを許可することをユーザーに許可しただけのため、実際の利用は各ユーザーが許可する必要があります。


2016年3月11日 @kimipooh

0 件のコメント:

コメントを投稿