ワークスペースセキュリティ設定

ワークスペースセキュリティ設定はワークスペースの境界を保護します

セキュリティルールを個人アカウントだけでなくワークスペース内の全員に適用したい場合は、ワークスペースセキュリティ設定を使用します。このメニューから、管理者は特定の企業や学校のメール ドメインを持つメンバーのみが参加できるように制限したり、すべてのメンバーに2要素認証のセットアップを義務付けたり、アップロードをブロックするファイル拡張子を指定したり、連携アプリを制限したり、ワークスペースのアクセスログを確認したりできます。

これらのコントロールは、キャンバスの共有設定ダイアログよりもはるかに強力です。キャンバス共有は特定のキャンバスを開く人を定義しますが、ワークスペースセキュリティ設定は、アイテムの共有状態に関わらず、そもそもワークスペース内へのアクセス自体を許可するかをシステムレベルで定義します。

個人アカウントのセキュリティ設定については、アカウントセキュリティ設定をご参照ください。

利用資格

ワークスペースセキュリティ設定を開く

まず、現在開いているアクティブワークスペースが正しいか必ず確認してください。その後、ワークスペース設定メニューを開き、管理者またはセキュリティエリアを開きます。設定メニュー自体が見つからない場合は、ワークスペース設定を開くを参照してください。

メニューが表示されない場合は、自身の役割と契約プランを確認してください。通常、管理者以外のメンバーはセキュリティルールを変更できません。1人用のワークスペース、EduおよびEdu Proの1人用プラン、および管理された外部ワークスペースでは、表示される管理者設定項目が制限されます。

許可されたメールドメイン

特定の企業、学校、または組織のメール ドメインを持つメンバーのみにアクセスを制限したい場合は、許可されたメールドメインを使用します。たとえば、個人のアドレスを使用しているユーザーではなく、組織で指定された公式ドメインのアドレスを持つ受信者のみに、招待の受託やワークスペースへの参加を制限できます。

現在の管理者設定画面では、制限を課すドメインの値を手動で入力して適用するか、値を削除して制限を無効化できます。長文のポリシー情報を書き込むのではなく、シンプルなドメインのみを入力してください。このルールが適用されると、指定されたドメインに一致しないアドレスを持つユーザーは、招待されていても参加をブロックされたり、アクセスを制限されたりします。

許可されたメールドメイン機能は、通常のメンバー管理（定期的なメンバーの監査等）を完全に代用するものではありません。管理者として、引き続き適切なユーザーを招待し、役割を正しく割り当て、不要になったメンバーを適宜除外する必要があります。

2要素認証の義務付け

ワークスペース内のすべてのメンバーに対して、アクセスを許可する前に2つの要素によるアカウント認証を義務付けたい場合は、このポリシーを有効にします。これは、財務、顧客データ、学生の成績、機密情報を取り扱うワークスペース、またはパスワードの漏洩が重大な被害に直結するセキュリティ重視の環境に非常に有効です。

このポリシーが有効になると、2要素認証をまだセットアップしていないメンバーは、ALLOの利用を続ける前にセットアップを要求されます。個人用のセットアップは、アカウントセキュリティ設定から行います。組織でSSO（シングルサインオン）や外部のIDプロバイダーを導入している場合は、多要素認証はALLOの外部で該当システムによって管理される場合があります。

大規模なワークスペースでこの機能を有効化する際は、事前にメンバーに対して通知を共有してください。また、管理者がアカウントから締め出されないように、必ずアクティブなバックアップ認証コードや復旧手段を手元に控えておいてください。

ファイル拡張子のブロック

不要な、またはセキュリティリスクの高い種類のファイルのアップロードを制限したい場合は、ファイル拡張子の制限を使用します。これはブロックリスト（禁止リスト）であり、管理者はアップロードを禁止したい拡張子を登録します。ALLOでは値が正規化されて処理されるため、拡張子の先頭にドット（.）を付けても付けなくても同様に機能します。

この制限ルールは、今後の新規アップロードに対してのみ適用されます。すでにワークスペース内に存在する既存のファイルを自動的に削除・整理する機能ではありません。過去にアップロードされた不要なファイルを除外したい場合は、該当するキャンバスやファイル一覧から対象のアイテムを手動で削除してください。

ブロックする拡張子は慎重に選択してください。不必要に多くの拡張子をブロックすると、通常の業務やクリエイティブな制作活動が妨げられる原因になります。リスクの高い実行可能ファイル形式（exe、bat等）や、組織のポリシーで明確に禁止されているファイル形式のみを指定するのが実用的です。

連携アプリの制限

組織のポリシーに従って、特定の拡張連携アプリの利用を制限したい場合は、連携アプリの制限を使用します。これは、機密情報、学生のデータ、規制対象データを取り扱うワークスペースや、外部の未承認システムにデータを共有すべきでないプロジェクトに役立ちます。

アプリの制限を適用しても、その適用前に過去に作成された外部システム連携コンテンツが自動消去されるわけではありません。この機能は、制限適用後のワークスペース内での新規の外部アプリ連携を制限するものです。

セキュリティログ

セキュリティログを使用することで、管理者はワークスペースに対する各アカウントのアクセス状況を詳細に監査・確認できます。ログには、メンバーのアイデンティティ、メールアドレス、ログイン日時、IPアドレス、デバイス・ブラウザの情報、および大まかな位置情報が含まれます。

主に以下の疑問を解消する目的で使用します：

1. 該当メンバーが最近いつログインしたか。
2. 認識のない見慣れないデバイスやネットワークからのアクセス履歴が存在しないか。
3. メンバーから報告のあった不審なアクセスイベントの原因を特定したい。
4. セキュリティポリシーの変更と、特定のメンバーのログイン不可トラブルの発生日時が重なっていないか。

セキュリティログは、キャンバス内の個々のオブジェクト（要素）の移動、特定のコメントの追加、特定のファイルの閲覧など、詳細なすべてのコンテンツ変更操作を記録した履歴ではありません。コンテンツ側の変更履歴を確認したい場合は、該当するキャンバス、プロジェクト、アクティビティ履歴、コメント、またはオブジェクト側の履歴機能を使用してください。

メンバー管理とセキュリティ設定の併用

ワークスペースセキュリティ設定は、メンバー管理を代用するものではありません。ユーザーをそもそもワークスペースから排除したい場合は、メンバーを無効化または削除してください。ユーザーは追加するもののログインのセキュリティ強度を高めたい場合は、2要素認証を義務付けてください。ユーザーに特定のキャンバスのみのアクセスを許可したい場合は、メンバーとして招待するのではなく、アイテムの直接共有を使用してください。

「そもそも誰が所属しているべきか」を管理する場合はワークスペースメンバーの管理を、「どのようなセキュリティ保護ポリシーを適用すべきか」を管理する場合はこのセキュリティ設定をご参照ください。

ワークスペースセキュリティ設定のトラブルシューティング