一般的な条件付きアクセス ポリシー: レガシ認証をブロックする

  • [アーティクル]

レガシ認証プロトコルに関連したリスクが増大しているため、Microsoft では組織に対して、これらのプロトコルを使用した認証要求をブロックし、先進認証を必須にすること推奨しています。 レガシ認証をブロックすることが重要である理由について詳しくは、「方法: 条件付きアクセスを使用して Azure AD へのレガシ認証をブロックする」を参照してください。

テンプレートのデプロイ

組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレート (プレビュー) を使用するかを選ぶことができます。

条件付きアクセス ポリシーを作成する

次の手順を実行すると、レガシ認証要求をブロックする条件付きアクセス ポリシーを作成できます。 このポリシーはレポート専用モードとなり、管理者が既存のユーザーに与える影響を判断できるようになります。 ポリシーが意図したとおりに適用されると管理者が判断した場合は、オンに切り替えたり、特定のグループを追加し他のグループを除外することでデプロイをステージングしたりすることができます。

  1. Azure portal に、条件付きアクセス管理者、セキュリティ管理者、または全体管理者としてサインインします。
  2. [Azure Active Directory][セキュリティ][条件付きアクセス] の順に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [Exclude](除外) で、 [ユーザーとグループ] を選択し、今後もレガシ認証を使用できる必要があるアカウントをすべて選択します。 少なくとも 1 つのアカウントを除外して、自身がロックアウトされないようにします。アカウントを除外しない場合、このポリシーを作成できなくなります。
  6. [クラウド アプリまたはアクション] で、 [すべてのクラウド アプリ] を選択します。
  7. [条件]>[クライアント アプリ] で、 [構成][はい] に設定します。
    1. [Exchange ActiveSync クライアント][その他のクライアント] のボックスのみをオンにします。
    2. [Done] を選択します。
  8. アクセス制御>許可 で、アクセスのブロック を選択します。
    1. [選択] を選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、[レポート専用モード] を使用して設定を確認した後、 [ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

注意

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。

次のステップ

Conditional Access common policies (条件付きアクセスの一般的なポリシー)

Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)

Microsoft 365 を使用して電子メールを送信するように多機能機器またはアプリケーションを設定する方法