M365 Manager Plus ナレッジベース

インストールディレクトリのセキュリティ保護手順


本ナレッジでは、インストールディレクトリのセキュリティ保護手順について説明します。

※本ナレッジの内容はグローバル本社の以下ドキュメント(英語)を翻訳、一部加筆したものです。
[Guide to secure your M365 Manager Plus installation] https://download.manageengine.com/microsoft-365-management-reporting/securing-m365-manager-plus-installation.pdf

<目次>
概要
対応方法

概要

<M365 Manager Plus_インストール ディレクトリ>には、M365 Manager Plusが正常に機能するための重要なファイル(製品の起動/停止に使用するファイル、ライセンスファイルなど)が含まれています。

ビルド4425以前のM365 Manager PlusはデフォルトでC:\ManageEngine配下にインストールされます。
これにより、Authenticated Usersグループに属する管理者以外のユーザーにも、<M365 Manager Plus_インストール ディレクトリ>内のファイル/フォルダーに対するフルコントロール権が付与されます。
つまり、Authenticated Usersグループに属するすべてのドメインユーザーがフォルダーにアクセスし、内容を変更できるため、
M365 Manager Plusを使用できなくなる可能性があります。

また、Authenticated Usersをアクセス制御リスト (ACL) から削除のみ行った場合、管理者以外のユーザーは特権がないことが原因でM365 Manager Plusを起動できなくなるため、この手段は有効とは言えません。

対応方法

M365 Manager Plusがインストールされている場所により手順が異なります。該当する手順をご参照ください。
「C:\ManageEngine」配下の場合
「C:\Program Files」配下の場合

「C:\ManageEngine」配下の場合

デフォルトでは、WindowsクライアントOSのC: ディレクトリには、Authenticated Usersにサブフォルダーの変更権限が付与されています。
ただし、Windows Server OSのC: ディレクトリには、ACLにAuthenticated Usersがありません。
そのため、M365 Manager PlusがインストールされているOSによって手順が異なる場合があります。
a) M365 Manager PlusがクライアントOSにインストールされている場合
b) M365 Manager Plusがserver OSにインストールされている場合
デフォルトでは、クライアントOS のC:ディレクトリには、サブフォルダーの変更権限を持つAuthenticated Usersが含まれています。
ただし、サーバー OSのC:ディレクトリには、ACLにAuthenticated Usersがありません。

a) M365 Manager PlusがクライアントOSにインストールされている場合
  1. C:\ManageEngine\M365 Manager Plusの継承を無効化
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  2. フォルダーのACLからAuthenticated Usersを削除
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  3. Authenticated Usersから下記フォルダーに対する権限を削除

    ・<M365 Manager Plus_インストール ディレクトリ>\bin\license
    ・<M365 Manager Plus_インストール ディレクトリ>\temp
    ・<M365 Manager Plus_インストール ディレクトリ>\webapps\o365\temp

    (詳細は、本ナレッジ下部の補足をご参照ください。)

  4. M365 Manager Plusを起動可能なユーザーにC:\ManageEngine\M365 Manager Plusに対する変更権限を付与
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  5. M365 Manager PlusがWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで設定されているアカウントにフォルダーの変更権限が割り当てられていることを確認
b) M365 Manager Plusがserver OSにインストールされている場合
  1. Authenticated Usersから下記フォルダーに対する権限を削除

    ・<M365 Manager Plus_インストール ディレクトリ>\bin\license
    ・<M365 Manager Plus_インストール ディレクトリ>\temp
    ・<M365 Manager Plus_インストール ディレクトリ>\webapps\o365\temp

    (詳細は、本ナレッジ下部の補足をご参照ください。)

  2. M365 Manager Plusを起動可能なユーザーにC:\ManageEngine\M365 Manager Plusに対する変更権限を付与
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  3. M365 Manager PlusがWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで設定されているアカウントにフォルダーの変更権限が割り当てられていることを確認
  4. クライアントOS/Server OS両方のケースで説明されている手順は、C:\ManageEngine以外の任意の場所でも有効です。
「C:\Program Files」配下の場合
  1. Authenticated Usersから下記フォルダーに対する権限を削除

    ・<M365 Manager Plus_インストール ディレクトリ>\bin\license
    ・<M365 Manager Plus_インストール ディレクトリ>\temp
    ・<M365 Manager Plus_インストール ディレクトリ>\webapps\o365\temp

    (詳細は、本ナレッジ下部の補足をご参照ください。)

  2. M365 Manager Plusを起動可能なユーザーにC:\ManageEngine\M365 Manager Plusに対する変更権限を付与
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  3. M365 Manager PlusがWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで設定されているアカウントにフォルダーの変更権限が割り当てられていることを確認
Microsoft は、ソフトウェアをC:\Program Files配下にインストールすることを推奨していますが、ご要件、組織のポリシーに基づいて、別の場所を選択することも可能です。
補足
継承を無効化する手順
  1. フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[詳細設定]をクリック
  2. [監査]タブ→[継承の無効化]をクリック
  3. [適用]をクリック
  4. [OK]をクリック
Authenticated UsersグループをACL(アクセスコントロールリスト)から削除する手順
  1. フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
  2. Authenticated Usersグループを選択
  3. [削除]をクリック
  4. [適用]をクリック
  5. [OK]をクリック
ユーザーまたはグループに権限を付与する手順
  1. フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
  2. [追加]をクリック
  3. 追加したいユーザー名またはグループ名を入力
  4. [OK]をクリック
  5. [許可]列にて、該当ユーザーまたはグループに付与する権限にチェック
  6. [適用]をクリック
  7. [OK]をクリック