変更点
2020 年 6 月から、安全性の低いアプリ (LSA) が G Suite アカウント データにアクセスする機能を制限します。 LSA は、ユーザー名とパスワードのみで Google アカウントにアクセスできる非 Google アプリです。 LSA を使用すると、アカウントがハイジャックされやすくなります。 LSAの代わりに、最新の安全なアクセス方法であるOAuthをサポートするアプリを使用することができます。
この問題は、従来のメール、カレンダー、連絡先アプリのユーザーに影響を与える可能性が高いです(詳細は以下を参照)。 また、この変更に関する詳細を、お客様の組織の主要管理者にメールでお知らせしました。
LSAへのアクセスは2段階に分けて行われます。
- 2020年6月15日以降 – 初めてLSAに接続しようとしたユーザーは、接続できなくなります。 これには、CalDAV、CardDAV、IMAP、Exchange ActiveSync(Google Sync)などのプロトコルを介してGoogleのカレンダー、連絡先、メールへのパスワードのみのアクセスを可能にするサードパーティアプリが含まれます。 この日以前にLSAに接続していたユーザーは、すべてのLSAの使用が停止されるまで、引き続きLSAを使用することができます。
- 2021年2月15日以降 – すべてのG SuiteアカウントでLSAへのアクセスがオフになります。
これは、G Suite アカウントを保護するために安全性の低いアプリへのアクセスを制限するという、以前発表したプロセスの継続です。
影響を受ける人
エンド ユーザー
理由
多くのユーザーは Google 以外のアプリを使用しており、それらのアプリに G Suite データへのアクセス許可を与えています。 たとえば、iOS のメール アプリに仕事用のメールを見る許可を与えている場合があります。
アカウントへのアクセスがLSAを介して提供されると、そのアカウントが乗っ取られる危険性があります。 これは、LSAがGoogle以外のアプリに、ユーザー名とパスワードだけで、他の認証要素なしにアカウントへのアクセスを提供するからです。
しかしながら、OAuthを通じてアカウントへのアクセスが提供された場合、私たちはログインに関するより詳細な情報を得て、お客様のアカウントへの他のログインと同じように検証することができます。 これは、不審なログインの試みをより適切に識別して防止することができ、ハイジャッカーがユーザー名とパスワードを知っていてもアカウントデータにアクセスできないようにすることができます。 また、OAuthは、セキュリティキーの使用などG Suite管理者が定義したログインポリシーの実施や、アプリのホワイトリスト化、スコープベースのアカウントアクセスの提供など、その他のセキュリティ管理にも役立ちます。 OAuthを使用する多くの代替アプリケーションやプロセスが利用可能であることから、アカウントのセキュリティを向上させつつ、大きな混乱を引き起こさないことを願っています。
導入方法
- Admins:
- 詳細と推奨されるアクションについては、以下の「追加の詳細」セクションを参照してください。
- 変更の影響を受ける可能性のあるユーザーのリストについては、「Switch to Apps that use secure OAuth access, as password-based access will not longer be supported」という件名で、組織の主要な管理者に送られたメールを参照してください。
- エンドユーザーの方へ。 詳細や推奨される対処法については、以下の「ユーザー情報とアドバイス」のセクションを参照してください。また、安全性の低いアプリや Google アカウントに関する詳細については、ヘルプセンターをご利用ください。
Additional details
Admin and developer information
Mobile device management (MDM) configuration – あなたの組織が CalDAV、CardDAV、および Exchange ActiveSync (Google Sync) のプロファイルの設定にモバイル デバイス管理 (MDM) プロバイダーを使用している場合、これらのサービスは以下のスケジュールに従って段階的に廃止されます。
- 2020年6月15日 – MDMによるIMAP、CalDAV、CardDAV、およびExchange ActiveSync(Google Sync)のプッシュが新規ユーザーに対して機能しなくなります。
- 2021年2月15日 – IMAP、CalDAV、CardDAV、およびExchange ActiveSync (Google Sync)のMDMプッシュは、既存のユーザーには機能しなくなります。 管理者は MDM プロバイダーを使用して Google アカウントをプッシュする必要があり、OAuth を使用して iOS デバイスに Google アカウントが再追加されます。
スキャナやその他のデバイス – 電子メールの送信に SMTP (Simple Mail Transfer Protocol) や LSA を使用するスキャナやその他のデバイスについては、変更の必要はありません。 デバイスを交換する場合は、OAuthを使用してメールを送信するものを探してください。
開発者向け説明書 – G Suiteアカウントとの互換性を維持するために、接続方法としてOAuth 2.0を使用するようにアプリを更新してください。 まずは、OAuth 2.0を使ってGoogle APIにアクセスするための開発者ガイドに従ってください。 また、モバイル & デスクトップアプリの OAuth 2.0 に関するガイドも参考にしてください。
エンド ユーザー向けの情報とアドバイス
ユーザー名とパスワードだけで Google アカウントにアクセスするアプリを使用している場合は、以下のいずれかの方法で、より安全な方法に切り替えて、メール、カレンダー、または連絡先へのアクセスを継続してください。 以下のいずれかの対応を行わない場合、2021年2月15日以降にLSAへのアクセスが停止されると、ユーザー名とパスワードの組み合わせが正しくないというエラーメッセージが表示されるようになります。
Eメール
- スタンドアロンのOutlook 2016以前のバージョンを使用している場合は、G Suite Sync for Microsoft Outlookを使用できます。 または、OAuthアクセスをサポートするOffice 365(またはOutlook 2019)に移行してください。
- Thunderbirdやその他のメールクライアントを使用している場合は、Googleアカウントを再追加し、OAuthでIMAPを使用するように設定します。
- iOS や MacOS のメールアプリ、または Outlook for Mac を使用していて、ログインにパスワードのみを使用している場合は、アカウントを削除して再追加する必要があります。 再度追加する際には、OAuthを自動的に使用するアカウントタイプとしてGoogleを選択するようにしてください。
- CalDAVを使ってアプリやデバイスにカレンダーへのアクセスを与えている場合は、OAuthをサポートする方法に切り替えてください。 G Suiteアカウントで使用する最も安全なアプリとして、Googleカレンダーアプリをお勧めします。
- G SuiteアカウントがiOSまたはMacOSのカレンダーアプリにリンクされており、ログインにパスワードのみを使用している場合は、アカウントを削除してデバイスに再追加する必要があります。 再度追加する際には、「Googleでログイン」を選択し、自動的にOAuthを使用するようにしてください。 詳しくはこちら。
連絡先
- G Suite アカウントが CardDAV 経由で iOS または MacOS に連絡先を同期しており、ログインにパスワードのみを使用している場合は、アカウントを削除する必要があります。 再度追加する際には、「Googleでログイン」を選択して、自動的にOAuthを使用するようにしてください。 続きを読む
- G Suite アカウントが CardDAV を介して他のプラットフォームやアプリに連絡先を同期しており、ログインにパスワードのみを使用している場合は、OAuth をサポートする方法に切り替えてください。
その他の安全性の低いアプリ
- iOS または MacOS 上で、パスワードのみで G Suite アカウント情報にアクセスする他のアプリを使用している場合、ほとんどのアクセス問題は、アカウントを削除してから再追加することで解決できます。 再度追加する際には、アカウントの種類としてGoogleを選択し、自動的にOAuthを使用するようにしてください。
- その他のLSAの場合は、管理者に連絡するか、使用しているアプリの開発者にOAuthのサポートを開始するように依頼してください。
- 開発者がアプリを更新してくれない場合は、OAuth を提供するクライアントに切り替える必要があります。
- G Suite Updates Blog: 安全性の低いアプリへのアクセスを制限してG Suiteアカウントを保護する
- Admin Help Center: 安全性の低いアプリへのアクセスを制御する
- Admin Help Center: Admin Help Center: 安全性の低いアプリの代替手段を使用する
- エンド ユーザー ヘルプ センター。
利用状況
ロールアウトの詳細 – すべてのドメイン
- 2020 年 6 月 15 日以降
- LSA に初めて接続しようとするユーザーは、接続できなくなります。 これには、CalDAV、CardDAV、IMAP、Exchange ActiveSync(Google Sync)などのプロトコルを介して、Googleのカレンダー、連絡先、電子メールにパスワードのみでアクセスできるサードパーティ製アプリが含まれます。 この日以前にLSAに接続していたユーザーは、すべてのLSAの使用が停止されるまで、引き続きLSAを使用することができます。
- CalDAVまたはCardDAVのMDM構成は、新規ユーザーには機能しなくなります。
- 2021年2月15日以降
- すべてのG Suiteアカウントで、LSAへのアクセスがオフになります。
- CalDAVとCardDAVのMDM設定は、既存のユーザーには機能しなくなります。 すべての既存のユーザーは、連絡先、カレンダー、または電子メールの同期を希望する場合、Google アカウントを再追加する必要があります。
G Suite エディション
すべての G Suite エディションに適用されます
デフォルトでのオン/オフ?
この機能はデフォルトでオンになり、オフにすることはできません。
G Suiteの発売情報を見逃さない
- G Suite製品のアップデートアラートをメールで受け取る
- G Suite発売のリリースカレンダーを見る
- これらのアップデートのRSSフィードを購読する
。