Googleから「Switch to apps that use secure OAuth access」のメールが届いた

Switch to apps that use secure OAuth access

みなさま、かなり暑い日々が続きますが夏バテされていないでしょうか?体力も落ちやすい時期なので食事と睡眠はしっかりとって過ごしたいですね💪

今回はタイトルのとおり、Googleから「Switch to apps that use secure OAuth access」というメールが届いたので、その対処方法について説明いたします。

このメールはGoogle Workspaceのメールサーバとメールクライアントの間での認証方式をよりセキュアな方法に限定するという案内です。それでは具体的に見ていきます。

「Switch to apps that use secure OAuth access」の内容

実際のメール本文は以下の通りです。

Starting September 30, 2024, Google Workspace accounts will only allow access to apps using OAuth. Password-based access (with the exception of App Passwords) will no longer be supported. POP and IMAP are NOT going away and can still be enabled with apps that connect using OAuth.
Dear Administrator,

We’re writing to remind you that as we previously shared in this blog post and in an email sent in mid-January, we’ll be turning off access to less secure apps (LSA) — non-Google apps that can access Google Workspace accounts with only a username and password (basic authentication) — starting June 15, 2024.

What you need to know
Access through basic authentication makes accounts more vulnerable to hijacking attempts. Moving forward, only apps that support a more modern and secure access method called OAuth will be able to access Google Workspace accounts.

Access to LSAs will be turned off in two stages:

Beginning June 15, 2024 - The LSA settings will be removed from the Admin console and can no longer be changed. Enabled users can connect after that time, but disabled users will no longer be able to access LSAs. This includes all third-party apps that require password-only access to Gmail, Google Calendar, Contacts via protocols such as CalDAV, CardDAV, IMAP, SMTP, and POP.

The IMAP enable/disable settings will be removed from users’ Gmail settings.

If you’ve been using LSAs prior to this date, you can continue using them until September 30, 2024.

Beginning September 30, 2024 - Access to LSAs will be turned off for all Google Workspace accounts. CalDAV, CardDAV, IMAP, and POP will no longer work when signing in with just a password — you will need to login with a more secure type of access called OAuth.

What you need to do
In order for your end users to continue using these types of apps with their Google Workspace accounts, they must switch to a more secure type of access called OAuth (a list of affected users is attached). This authentication method allows apps to access accounts with a digital key instead of requiring a user to reveal their username and password. We recommend that you share the user instructions (in this PDF file) with individuals in your organization to help them make the necessary changes. Alternatively, if your organization is using custom tools, you can ask the developer of the tool to update it to use OAuth. Developer instructions are also in this PDF file.

MDM configuration
If your organization uses a mobile device management (MDM) provider to configure IMAP, CalDAV CardDAV, or POP profiles, these services will be phased out according to the timeline below:

Beginning June 15, 2024 - MDM push of password based IMAP, CalDAV, CardDAV, and POP will no longer work for customers who try to connect for the first time. If you use Google MDM, you will not be able to turn on "Custom Push Configuration" settings for CalDAV and CardDAV.

Beginning September 30, 2024 - MDM push of password based IMAP, CalDAV, CardDAV, and POP will no longer work for existing users. Admins will need to push a Google Account using their MDM provider, which will re-add their Google accounts to iOS devices using OAuth. If you use Google MDM, “Custom push configuration-CalDAV” and “Custom push configuration-CardDAV” (more details about the settings here) will stop being effective.

Other less secure apps

For any other LSA, ask the developer of the app you are using to start supporting OAuth.
Scanners and other devices

For scanners or other devices using simple mail transfer protocol (SMTP) or LSAs to send emails, configure to use OAuth, use an alternative method, or configure an App Password for use with the device. If you replace your device, look for one that sends email using OAuth.

We’re here to help
If you have additional questions or need assistance, please contact Google Workspace support. When you call or submit your support case, reference issue number 319688531.

Thanks for choosing Google Workspace.

—The Google Workspace Team

A list of affected users is attached.

翻訳すると以下の通りです。

2024年9月30日より、Google WorkspaceアカウントはOAuthを使用するアプリのみがアクセス可能となります。パスワードベースのアクセス(アプリパスワードを除く)はサポートされなくなります。POPおよびIMAPは廃止されず、OAuthを使用して接続するアプリで引き続き有効にできます。

管理者様へ、

以前のブログ投稿や1月中旬に送信されたメールでお伝えした通り、2024年6月15日より、ユーザー名とパスワードのみでGoogle Workspaceアカウントにアクセスできる非Googleアプリ(基本認証)のアクセスを無効にします。

知っておくべきこと
基本認証によるアクセスはアカウントをハイジャックの試みに対して脆弱にします。今後は、よりモダンで安全なアクセス方法であるOAuthをサポートするアプリのみがGoogle Workspaceアカウントにアクセスできるようになります。

LSA(Less Secure Apps)のアクセスは以下の2段階で無効になります:

2024年6月15日 - 管理コンソールからLSA設定が削除され、変更できなくなります。この時点以降も有効なユーザーは接続できますが、無効なユーザーはLSAにアクセスできなくなります。これにはGmail、Googleカレンダー、連絡先などにパスワードのみでアクセスするすべてのサードパーティアプリが含まれます。

ユーザーのGmail設定からIMAPの有効/無効設定が削除されます。

この日以前にLSAを使用していた場合は、2024年9月30日まで引き続き使用できます。

2024年9月30日 - すべてのGoogle WorkspaceアカウントでLSAへのアクセスが無効になります。CalDAV、CardDAV、IMAP、POPはパスワードのみでのサインインができなくなり、OAuthを使用してログインする必要があります。

必要な対応
エンドユーザーがこれらのタイプのアプリを引き続き使用するためには、OAuthというより安全なアクセス方法に切り替える必要があります(影響を受けるユーザーのリストが添付されています)。この認証方法は、ユーザー名とパスワードを公開することなく、デジタルキーでアカウントにアクセスを許可します。組織内の個々のユーザーが必要な変更を行えるよう、ユーザー向けの指示(このPDFファイル)を共有することをお勧めします。あるいは、カスタムツールを使用している場合は、そのツールの開発者にOAuthを使用するよう更新を依頼してください。開発者向けの指示もこのPDFファイルにあります。

MDM設定
組織がモバイルデバイス管理(MDM)プロバイダーを使用してIMAP、CalDAV、CardDAV、POPプロファイルを設定している場合、これらのサービスは以下のタイムラインに従って段階的に廃止されます:

2024年6月15日 - パスワードベースのIMAP、CalDAV、CardDAV、POPのMDMプッシュが、初めて接続しようとする顧客には機能しなくなります。Google MDMを使用している場合、CalDAVとCardDAVの「カスタムプッシュ設定」をオンにすることはできません。

2024年9月30日 - 既存ユーザーに対するパスワードベースのIMAP、CalDAV、CardDAV、POPのMDMプッシュが機能しなくなります。管理者はMDMプロバイダーを使用してGoogleアカウントをプッシュし、iOSデバイスにOAuthを使用してGoogleアカウントを再追加する必要があります。Google MDMを使用している場合、「カスタムプッシュ設定-CalDAV」および「カスタムプッシュ設定-CardDAV」(設定の詳細はこちら)は効果がなくなります。

その他の低セキュリティアプリ

他のLSAについては、使用しているアプリの開発者にOAuthをサポートするよう依頼してください。

スキャナーやその他のデバイス

SMTPまたはLSAを使用してメールを送信するスキャナーやその他のデバイスについては、OAuthを使用するように設定するか、代替方法を使用するか、デバイスで使用するアプリパスワードを設定してください。デバイスを交換する場合は、OAuthを使用してメールを送信するデバイスを選んでください。

ご不明な点や支援が必要な場合は、Google Workspaceサポートにお問い合わせください。サポートに連絡する際は、問題番号319688531を参照してください。

Google Workspaceをお選びいただきありがとうございます。

— Google Workspaceチーム

影響を受けるユーザーのリストが添付されています。

対応が必要なのはどんな人?

Google WorkspaceのメールをGoogleのGmailクライアントで受信してる場合はすでにOAuthでの認証になっているかと思います。ですので、それ以外のメールクライアントでメールを送受信している人は影響を受ける可能性があります。

例えば、サイボウズのメールワイズなどのメール関連サービスやデスクネッツなどのグループウェアが該当します。

これらのサービスではメールサーバとの間でメールの送受信を行うための設定が必要ですが、今回の変更によって2024年9月30日までに送受信の設定をOAuth認証方式に変更する必要があります。変更しない場合、2024年9月30日以降、メールの送受信ができなくなります

案内メールには影響を受けるメールアドレスの一覧が添付されています。これをテキストエディタで開いて該当するメールアドレスを確認してください。このメールアドレスに対する送受信設定を変更する必要があります。

また、本文はモバイルデバイス管理(MDM)やメール送信を行うスキャナーを使っている場合にも言及しています。今回、弊社で対応したケースには該当しないのでこちらは割愛します。

メールクライアント側で設定する認証情報

Google Workspaceのメールサーバに接続するための認証方法はID/パスワード方式、アプリパスワード方式、OAuth認証方式があります。

  • ID/パスワード方式:IDとパスワードの文字列が一致することで認証される方式。メール本文にある通り「ハイジャックの試みに脆弱」で、今回廃止される方式。
  • アプリパスワード方式:ID/パスワード方式と同様に文字列による認証だが、一度しか使用できず、使用後に他のアプリで使われても認証できない。今回の切り替え以降も継続的に利用可能な模様。
  • OAuth認証方式:ID/パスワードを直接利用せずに、代わりに発行されたアクセストークンを利用して認証を行う方式。今回こちらへの切り替えが必要。

メール文中には「OAuthを使用するアプリのみがアクセス可能となります」とありますが、本文をよく読むと「アプリパスワードを除く」とある通り、アプリパスワード方式は利用可能です。つまりID/パスワード方式を利用している場合のみ対処が必要です。

弊社のケースでも、添付されているメールアドレス一覧にはID/パスワード方式のアドレスのみが挙げられており、アプリパスワードを利用しているものは一覧に挙げられていませんでした。

OAuth認証への切り替えについて

ご利用中のメールクライアントの設定画面で、認証方式をOAuth認証方式か、アプリパスワード方式に変更してください。実際の手順はメールクライアントのマニュアルを確認してください。

参考に、弊社にて今回対応が必要になったメールワイズとデスクネッツの認証方法の変更手順のリンクを掲載しておきます。

【デスクネッツ】

1.OAuth認可サーバを設定する

https://www.desknets.com/neo/download/doc/oauth/gmail.html

2.メールアカウントごとに上記OAuth認可サーバを使った認証設定を行う

https://faq.desknets.com/faq/NEO-T0710

【メールワイズ】Gmail の認証方式を基本認証(POP/IMAP)から先進認証(OAuth 2.0)へ設定変更する方法を教えてください。

https://faq.cybozu.info/alphascope/cybozu/web/mailwise/Detail.aspx?id=2549

まとめ

今回はGoogle Workspaceでのメールサーバとサードパーティのメールクライアントとの間の認証方式についての話題でした。チャットでのコミュニケーションが増えてきましたが、メールもまだまだ必要とされているコミュニケーション媒体です。ある日突然使えなくなった!ということが無いように仕様変更の情報をしっかり把握してメンテンナンスしていきたいですね。

カテゴリー: メール
GLASSで一緒に働いてみませんか?