Microsoft Entra ID の認証方法の保護
Note
Authenticator Lite の Microsoft マネージド値は、2023 年 6 月 26 日に無効から有効に移行されます。 既定の状態である Microsoft マネージドのままになっているすべてのテナントは、6 月 26 日に機能が有効化されます。
Microsoft Entra ID は、増加する攻撃からお客様をより適切に保護するために、セキュリティ機能を追加、改善します。 新しい攻撃ベクトルが判明すると、Microsoft Entra ID では既定で保護を有効にして対応し、お客様が新たなセキュリティの脅威に先回りできるよう支援します。
たとえば、MFA 疲労攻撃の増加を受け、Microsoft ではお客様がユーザーを防御する方法を推奨しています。 ユーザーが誤って多要素認証 (MFA) の承認を受けないようにするための推奨事項の 1 つは、数値の一致を有効にすることです。 その結果、すべての Microsoft Authenticator ユーザーに対して、数値の一致の既定の動作が明示的に [有効] になります。 番号照合などの新しいセキュリティ機能の詳細については、Microsoft Authenticator の高度なセキュリティ機能の一般提供に関するブログ記事を参照してください。
セキュリティ機能の保護を既定で有効にするには、次の 2 つの方法があります。
- セキュリティ機能がリリースされた後、お客様は Microsoft Entra 管理センター または Graph API を使用して、自分のスケジュールに従って変更内容をテストし、ロール アウトできます。 新しい攻撃ベクトルから防御するために、Microsoft Entra ID では、特定の日付にすべてのテナントに対してセキュリティ機能の保護を既定で有効にします。そうすると保護を無効にするオプションはありません。 Microsoft では、お客様が変更に備える時間を確保できるよう、既定の保護を事前にスケジュールしています。 Microsoft が既定で保護をスケジュールしている場合、お客様はオプトアウトできません。
- 保護は、Microsoft による管理にできます。つまり、Microsoft Entra ID は、セキュリティの脅威の現在の状況に基づいて保護を有効にするか無効にできます。 お客様は、Microsoft による保護の管理を許可するかどうかを選択できます。 Microsoft による管理から変更して、保護を明示的に [有効] か [無効] にできます。
注意
既定では、重要なセキュリティ機能のみ、保護が有効になります。
Microsoft Entra ID によって有効になっている既定の保護
数値の一致は認証方法の保護の良い例で、現在、すべてのテナントの Microsoft Authenticator のプッシュ通知に対して任意となっています。 お客様は、ユーザーとグループに対して Microsoft Authenticator のプッシュ通知の数値の一致を有効にするか、無効のままにしておくかを選択できます。 Microsoft Authenticator でのパスワードレス通知では、数値の一致が既に既定の動作となっており、ユーザーはオプトアウトできません。
MFA 疲労攻撃が増加すると、サインイン セキュリティにとって数値の一致がより重要になります。 これに伴い、Microsoft では Microsoft Authenticator のプッシュ通知の既定の動作を変更します。
Microsoft によって管理される設定
IT 管理者は、認証方法ポリシー設定を [有効] または [無効] のいずれかに設定する以外に、認証方法ポリシー内のいくつかの設定を Microsoft による管理にすることができます。 Microsoft が管理する設定では、Microsoft Entra ID はその設定を有効または無効にできます。
Microsoft Entra ID で設定を管理できるようにするオプションは、Microsoft が既定で機能を有効または無効にすることを許可する、組織にとって便利な方法です。 組織は、Microsoft を信頼して、機能を既定でいつ有効にする必要があるかを管理することで、自社のセキュリティ態勢をより簡単に改善できます。 Microsoft が管理する (Graph API では default という名前) として設定を構成することで、IT 管理者は Microsoft を信頼して、明示的に無効にしていないセキュリティ機能を有効にできます。
たとえば、管理者はプッシュ通知で場所とアプリケーション名を有効にして、Microsoft Authenticator で MFA 要求を承認するときに、より多くのコンテキストをユーザーに提供できます。 追加のコンテキストは明示的に無効にしたり、Microsoft による管理として設定することもできます。 現在、場所とアプリケーション名の Microsoft による管理構成は [無効] になっています。これにより、管理者が Microsoft Entra ID で設定を管理することを選択した環境では、このオプションが実質的に無効になります。
セキュリティ脅威の状況が時間の経過とともに変化するにつれて、Microsoft は場所とアプリケーション名の Microsoft による管理構成を [有効] に変更することがあります。 Microsoft を頼りにセキュリティ体制を強化したいお客様にとって、セキュリティ機能を Microsoft による管理に設定することで、セキュリティ脅威の先手を打つことが容易になります。 Microsoft を信頼して、現在の脅威の状況に基づいてセキュリティ設定を構成する最善の方法を決定できます。
次の表では、Microsoft による管理に設定できる各設定と、その設定が既定で有効であるか無効であるかを一覧表示しています。
| 設定 | 構成 |
|---|---|
| 登録キャンペーン | テキスト メッセージ ユーザーと音声通話ユーザーに対して有効 |
| Microsoft Authenticator 通知の場所 | 無効 |
| Microsoft Authenticator 通知のアプリケーション名 | 無効 |
| システムが優先する MFA | Enabled |
| Authenticator Lite | Enabled |
| 疑わしいアクティビティの報告 | 無効 |
脅威ベクトルの変化に応じて、Microsoft Entra ID では、Microsoft による管理設定の既定の保護について、リリース ノートや Tech Community などのよく読まれるフォーラムで発表することがあります。 たとえば、ブログ記事「認証のための電話転送から脱却する時が来ました」では、テキスト メッセージと音声通話の使用をやめる必要性について詳しく説明しており、これにより、ユーザーが先進認証用に Authenticator を設定できるように、登録キャンペーンの既定の有効化が行われました。