monday.com では、セキュリティは最優先事項です。私たちは、お客様が自信を持ってワークフローを構築できるようにしたいと考えています。この記事では、Outlook 統合のセキュリティと IT 実装に関する疑問にお答えします。
基本の使い方
Outlook 統合の開発者は?
Outlook 統合の開発者は、monday.com です。
monday.com と Microsoft 間の統合について。統合はどの環境で実行されますか?
統合は monday.com サーバーで実行されます。Microsoft からウェブフックを受け取り、当社側でロジックを実行し、それから API コールを行い、Microsoft からデータを取得したり、メールを送信したり、アイテムの作成やアップデートの追加といった monday.com 上でのアクションを実行します(統合によって異なります)。
認証
monday.com は認証に何を使っていますか?
認証には OAuth 2.0 プロトコルを使用しています。OAuth 2.0 を通じて、ユーザーは monday.com 統合が必要とする特定のスコープを承認することができます。ユーザーが特定のスコープを選択した後、Microsoft と monday.com サーバーの間でハンドシェイクが行われ、トランザクションの安全性が確保されます。
承認の結果、Microsoft は、認証されたユーザーに代わって API 呼び出しを行うために使用できるアクセストークンを提供します。API 呼び出しは、ユーザーが許可したスコープ内でのみ行われます。API 呼び出しを使用すると、monday.com は、認証を開始したユーザーがアカウント内で許可した To Do またはビューの情報、またスコープ内情報にのみアクセスできます。
OAuth 2.0 の詳細はどこで見ることができますか?
標準 OAuth 2.0 プロトコルに関する詳細は、こちらをご覧ください。
monday.com は私の Outlook のパスワードにアクセスできますか?
monday.com はいかなる時点でも、Outlook の認証ユーザーのパスワードにアクセスできません。この情報が当社に共有されることはありません。
権限
monday.com に完全な読み取りと書き込みのアクセス許可が必要なのはなぜですか?
サードパーティのアプリにアカウント全体へのアクセス権を与えることを心配されるお気持ちはよくわかります。ですので、完全な読み取りアクセス許可を要求する理由について、詳しく説明したいと思います。
統合を機能させるには、読み取りおよび書き込み権限が必要です。
当社は、メールの読み取りおよび書き込み権限を要求します。メールの送信を許可するためには、メールを送信する権限が必要で、これには書き込み権限が必要です。メールを受信するためには、 monday.com に情報を取り込んで表示するための読み取り権限が必要です。
これらの権限との統合は具体的にはどのように機能しますか?
ユーザが受信統合を作成すると、当社はそのユーザが受信したメールの通知を Outlook から受け取るように登録します。メールを受信すると、Outlook から通知され、メッセージ ID が提供されますが、メッセージそのものは提供されません。
統合を進めるため、当社はまず最初に Microsoft から提供された ID を使って、API 経由でメッセージを取得します。関連する受信トレイからのみメッセージを取得します。つまり、スパム、削除済み、送信済みフォルダーなどの受信トレイにあるメッセージは取得しません。メッセージを取得したら、統合を実行し、統合を設定する際に選択した条件をチェックします。これらの条件に基づいて、アイテムを作成、またはメールからアップデートしますします。
monday.com へのアクセスは、読み取りと書き込みの完全権限でどこまで可能ですか?受信トレイのメールはすべて monday.com に読まれていますか?
許可を得た場合、monday.com は統合を許可したユーザーの受信トレイ内のメッセージのみを読むことができます。また、monday.com は2つの状況のうち1つの場合のみ、それを実行します:
- 第一の状況は、最初に接続が行われた場合です。その際、monday.com は Outlook の受信トレイで最後に受信したメールを取得し、有効な受信トレイに接続されたことを確認します。その目的は、monday.com がメールを正常に取得できるかどうかをチェックすることです。メールに対して何も行われず、メールはどこにも保存されません。
- 第二の状況については、このセクションの前の質問に対する回答で説明した通りです。ユーザーが受信メールの統合を設定し、アクセスを許可すると、Microsoft が通知を送信したときに monday.com は Microsoft からメールを取得します。
統合は monday.com と Microsoft の間で行われます。データに第三者がアクセスすることはありますか?
この統合によって第三者がデータにアクセスすることはありません。
どのようなセキュリティ・プロトコルが導入されていますか?
Oauth2 プロトコルにより、統合を設定および承認したユーザーに対して、アクセストークンを承認および取得するための安全な方法が確保されます。Microsoft はまた、monday.com に秘密のランダム文字列を送信するよう要求しています。これは、Microsoft と monday.com の双方にとって、リクエストの送信元が信頼できるホストであるという特別な保証となります。トークンは AWS のシークレットマネージャーに保存され、他の方法ではアクセスできません。
統合を作成できるユーザーを制限する権限を設定するにはどうすればよいですか?
統合を作成できるユーザーを制限する権限を設定するには、「アカウント権限の設定方法」の記事をお読みください。
データストレージ
monday.com と Outlook 間のデータ転送に関して、統合はどのように機能しますか?
統合は API を通じてのみ通信します。monday.com は Microsoft Graph に API 呼び出しを行い、API を介して Microsoft から通知を受け取ります。
データストレージの仕組みは?
アクセストークンは、ボルトと呼ばれる秘密管理ツールに保存されます。ツールが保存する認証データ(アクセストークン)は暗号化されます。アクセストークンは、当サーバー内からの特定のユーザーに対するリクエストでのみアクセスすることができます。
「バックアップ」はありますか?
いいえ、ボルト認証データ用の独立したバックアップデータベースはありません。
monday.com 内での O365 関連データの保存期間は?
持続する O365 アプリケーションに関連するデータにはさまざまな種類があります:
- 接続が有効であることを確認するための 1 回限りのチェック。これは、Outlook メールが有効であることを確認するために、接続(認証)の作成時に実行されるチェックです。有効な応答かエラーかをテストするため、API からランダムにひとつのメッセージが取得されます。このメッセージはどこにも読まれず、また保存もされません。
- 認証データ(アクセストークン、リフレッシュトークン、表示名)。これは、ユーザーに代わって API にアクセスするために使用されるデータです。ユーザーが monday.com に API へのアクセスを許可した場合、Oauth2 プロトコルの完了後に Microsoft からこのデータを受け取ります。このデータはシークレット管理ツールであるボルトに保存され、ユーザーが削除を要求しない限りそこに保存されます。認証データは短時間で失効するため、データとアクセスがまだ有効であることを確認するために、継続的にリフレッシュする必要があります。また、ユーザーはいつでも Microsoft アカウントで接続を取り消すことができます。接続を取り消す方法の詳細については、この記事の最後のセクションを参照してください。接続が取り消されると、monday.com に保存されている認証データは、ユーザーに代わって API にアクセスするためのものではなくなるため、機能しなくなります。この無効化は、パスワードの変更、強制ログアウト、MFA の追加など、他のさまざまなケースで Microsoft による予防措置として実行されます。
- 統合に関連するあらゆるデータ。統合レシピを有効化するときに統合を使用する個人が選択したメールの本文や件名など、統合に関係するすべてのデータは、どのような方法で追加されたにせよ、自分のボードにデータとして保存され、情報が削除されるまで、monday.com の対応するボード要素(例:アイテム名、アップデートパネルなど)のデータベースに保存されます。
アクセスの取り消し
Outlook アカウントへの monday.com のアクセス権を取り消すには?
monday.com の Outlookへのアクセスは、いつでも取り消すことができます。アクセスを取り消すには、Outlook に移動して、アカウントへのアクセスが許可されているサードパーティアプリを確認します。monday.com のアクセスを取り消すと、monday.com が保存したトークンは機能しなくなります。その時点から、monday.com はお客様に代わって API 呼び出しを行うことができなくなります。お客様がアクセスを取り消した後に monday.com がリクエストを行おうとしても、monday.com はもはや有効なトークンを持たないため、リクエストは失敗となります。
ご不明な点がございましたら、こちらから担当チームにお問い合わせください。24時間年中無休でお答え致します。
コメント