今日の世界では、worker をセキュリティで保護しようとするのが困難に見える場合があります。迅速に対応し、多数のサービスへのアクセスを迅速に提供する必要がある場合は特にそうです。 この記事では、実行するアクションの簡潔な一覧を提供し、所有しているライセンスの種類に基づいて機能を特定し、優先順位を付けられるようにします。
Microsoft Entra ID には多数の機能が用意されており、ID に対して多くのセキュリティ層が用意されているため、関連性の高い機能に移動するのが困難な場合があります。 このドキュメントは、ID をセキュリティで保護することを第一に考えて、組織がサービスを迅速にデプロイできるようにすることを目的としています。
各表では、ユーザーの利便性を損なわずに、一般的なセキュリティ攻撃から ID を保護するためのセキュリティ推奨事項を示しています。
このガイダンスは、次の場合に役立ちます。
- セキュリティで保護された方法でサービスとしてのソフトウェア (SaaS) およびオンプレミス アプリケーションへのアクセスを構成します。
- クラウド ID とハイブリッド ID の両方
- リモートまたはオフィスで作業しているユーザー
前提条件
このガイドでは、クラウドのみの ID またはハイブリッド ID が Microsoft Entra ID で既に確立されていることを前提としています。 ID の種類を選択する方法については、「Microsoft Entra ハイブリッド ID ソリューションの適切な認証(AuthN) 方法を選択する」の記事を参照してください。
Microsoft は、組織が グローバル管理者 ロールが永続的に割り当てられる 2 つのクラウド専用の緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "ブレーク グラス" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関するレコメンデーションに従って作成する必要があります。
ガイド付きチュートリアル
この記事内の多くの推奨事項のガイド付きチュートリアルについては、Microsoft 365 管理センターにサインインしたときの「Microsoft Entra ID の設定」ガイドを参照してください。 サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、Microsoft 365 セットアップ ポータルにアクセスしてください。
Microsoft Entra ID Free、Office 365、または Microsoft 365 のお客様向けのガイダンス
Microsoft Entra ID Free、Office 365、または Microsoft 365 の各アプリのお客様が自分のユーザー ID を保護するために行うべき、多くの推奨事項があります。 次の表は、次のライセンス サブスクリプション向けの主要なアクションを強調することを目的としています。
- Office 365 (Office 365 E1、E3、E5、F1、A1、A3、A5)
- Microsoft 365 (Business Basic、ビジネス向けアプリ、Business Standard、Business Premium、A1)
- Microsoft Entra ID Free (Azure、Dynamics 365、Intune、および Power Platform に含まれています)
| 推奨される操作 | ディテール |
|---|---|
| セキュリティの既定値群を有効にする | 多要素認証を有効にし、レガシ認証をブロックすることで、すべてのユーザー ID とアプリケーションを保護します。 |
| パスワード ハッシュ同期を有効にする (ハイブリッド ID を使用している場合) | 認証に冗長性を提供し、セキュリティを強化します (スマート ロックアウト、IP ロックアウト、漏洩した資格情報を検出する機能など)。 |
| AD FS スマート ロックアウトを有効にする (該当する場合) | 悪意のあるアクティビティによるエクストラネット アカウント ロックアウトの発生からユーザーを保護します。 |
| Microsoft Entra スマート ロックアウトを有効にする (マネージド ID を使用している場合) | スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方法を使用して侵入しようとする悪意のあるユーザーのロックアウトに役立ちます。 |
| アプリケーションに対するエンドユーザーの同意を無効にする | 管理者の同意ワークフローによって、管理者は、エンド ユーザーが会社のデータを漏洩することがないように、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 Microsoft では、将来のユーザーの同意動作をすべて無効にし、攻撃の対象となる領域を減らし、このリスクを軽減することをお勧めしています。 |
| サポートされている SaaS アプリケーションをギャラリーから Microsoft Entra ID に統合し、シングル サインオン (SSO) を有効にする | Microsoft Entra ID には、あらかじめ統合された何千ものアプリケーションが含まれるギャラリーがあります。 組織で使用しているアプリケーションの一部は、おそらく、Azure portal から直接アクセスできるギャラリーにあります。 ユーザー エクスペリエンスの向上 (シングル サインオン (SSO)) により、企業の SaaS アプリケーションへのアクセスをリモートで安全に提供します。 |
| SaaS アプリケーションからのユーザー プロビジョニングとプロビジョニング解除を自動化する (該当する場合) | ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションのユーザー ID とロールを自動的に作成します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれ、組織のセキュリティが向上します。 |
| 安全なハイブリッド アクセスを有効にする:既存のアプリ デリバリー コントローラーとネットワークを使用してレガシ アプリをセキュリティで保護する (該当する場合) | オンプレミスやクラウドのレガシ認証アプリケーションを、既存のアプリケーション デリバリー コントローラーまたはネットワークを使用して Microsoft Entra ID に接続することで、それらの認証アプリケーションを発行して保護します。 |
| セルフサービス パスワード リセットを有効にする (クラウドのみのアカウントに適用可能) | この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。 |
| 可能な場合は最小特権ロールを使用する | 管理者には、アクセスする必要がある領域だけに必要なアクセスのみを付与します。 |
| Microsoft のパスワードのガイダンスを有効にする | 設定したスケジュールでのパスワード変更をユーザーに要求することをやめ、複雑さに関する要件を無効にします。ユーザーは自分のパスワードを、より覚えやすく安全な何かのままにしておきやすくなります。 |
Microsoft Entra ID P1 のお客様向けのガイダンス
次の表は、次のライセンス サブスクリプション向けの主要なアクションを強調することを目的としています。
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3、A3、F1、F3)
| 推奨される操作 | ディテール |
|---|---|
| Microsoft Entra 多要素認証と SSPR の統合された登録エクスペリエンスを有効にして、ユーザー登録エクスペリエンスを簡略化する | Microsoft Entra 多要素認証とセルフサービス パスワード リセットの両方について、ユーザーが 1 つの共通操作で登録できるようにします。 |
| 組織の多要素認証設定を構成する | 多要素認証を使用した侵害からアカウントを確実に保護する |
| セルフサービス パスワード リセットを有効にする | この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。 |
| パスワード ライトバックを実装する(ハイブリッド ID を使用している場合) | クラウドでのパスワードの変更を、オンプレミスの Windows Server Active Directory 環境に書き戻すことを許可します。 |
| 条件付きアクセス ポリシーを作成して有効にする | 管理者権限が割り当てられているアカウントを管理者が保護するための多要素認証。 レガシ認証プロトコルに関連するリスクが増加したため、レガシ認証プロトコルをブロックします。 ユーザーとアプリケーションをセキュリティで保護し、環境に合わせてバランスの取れた多要素認証ポリシーを作成するための、すべてのユーザーとアプリケーション向けの多要素認証。 Azure リソースにアクセスするすべてのユーザーに対して多要素認証を要求することで、特権リソースを保護するには、Azure 管理のために多要素認証を必須にします。 |
| パスワード ハッシュ同期を有効にする (ハイブリッド ID を使用している場合) | 認証に冗長性を提供し、セキュリティを強化します (スマート ロックアウト、IP ロックアウト、漏洩した資格情報を検出する機能など) |
| AD FS スマート ロックアウトを有効にする (該当する場合) | 悪意のあるアクティビティによるエクストラネット アカウント ロックアウトの発生からユーザーを保護します。 |
| Microsoft Entra スマート ロックアウトを有効にする (マネージド ID を使用している場合) | スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方法を使用して侵入しようとする悪意のあるユーザーのロックアウトに役立ちます。 |
| アプリケーションに対するエンドユーザーの同意を無効にする | 管理者の同意ワークフローによって、管理者は、エンド ユーザーが会社のデータを漏洩することがないように、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 Microsoft では、将来のユーザーの同意動作をすべて無効にし、攻撃の対象となる領域を減らし、このリスクを軽減することをお勧めしています。 |
| アプリケーション プロキシを使用してオンプレミスのレガシ アプリケーションへのリモート アクセスを有効にする | Microsoft Entra アプリケーション プロキシを有効にし、レガシ アプリと統合して、ユーザーが自分の Microsoft Entra アカウントでサインインすることで、オンプレミスのアプリケーションに安全にアクセスできるようにします。 |
| 安全なハイブリッド アクセスを有効にする:既存のアプリ デリバリー コントローラーとネットワークを使用してレガシ アプリをセキュリティで保護する (該当する場合)。 | オンプレミスやクラウドのレガシ認証アプリケーションを、既存のアプリケーション デリバリー コントローラーまたはネットワークを使用して Microsoft Entra ID に接続することで、それらの認証アプリケーションを発行して保護します。 |
| サポートされている SaaS アプリケーションをギャラリーから Microsoft Entra ID に統合し、シングル サインオンを有効にする | Microsoft Entra ID には、あらかじめ統合された何千ものアプリケーションが含まれるギャラリーがあります。 組織で使用しているアプリケーションの一部は、おそらく、Azure portal から直接アクセスできるギャラリーにあります。 ユーザー エクスペリエンスの向上 (SSO) により、企業の SaaS アプリケーションへのアクセスをリモートで安全に提供します。 |
| SaaS アプリケーションからのユーザー プロビジョニングとプロビジョニング解除を自動化する (該当する場合) | ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションのユーザー ID とロールを自動的に作成します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれ、組織のセキュリティが向上します。 |
| 条件付きアクセスを有効にする – デバイス ベース | デバイスベースの条件付きアクセスを使用して、セキュリティとユーザー エクスペリエンスを向上させます。 この手順によって、ユーザーは、セキュリティとコンプライアンスの基準を満たすデバイスからのみアクセスできるようになります。 これらのデバイスはマネージド デバイスとも呼ばれます。 マネージド デバイスには、Intune に準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスが可能です。 |
| パスワード保護を有効にする | ユーザーが脆弱で簡単に推測できるパスワードを使用できないようにします。 |
| 可能な場合は最小特権ロールを使用する | 管理者には、アクセスする必要がある領域だけに必要なアクセスのみを付与します。 |
| Microsoft のパスワードのガイダンスを有効にする | 設定したスケジュールでのパスワード変更をユーザーに要求することをやめ、複雑さに関する要件を無効にします。ユーザーは自分のパスワードを、より覚えやすく安全な何かのままにしておきやすくなります。 |
| 組織固有の禁止パスワードのカスタム リストを作成する | ユーザーが、お客様の組織や分野において一般的な単語や語句を含むパスワードを作成しないようにします。 |
| ユーザー用にパスワードなしの認証方法をデプロイする | ユーザーに便利なパスワードなしの認証方法を提供します。 |
| ゲスト ユーザー アクセスの計画を作成する | ゲスト ユーザーが各自の職場 ID、学校 ID、またはソーシャル ID を使用してアプリやサービスにサインインできるようにして、共同作業を行います。 |
Microsoft Entra ID P2 のお客様向けのガイダンス
次の表は、次のライセンス サブスクリプション向けの主要なアクションを強調することを目的としています。
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5、A5)
| 推奨される操作 | ディテール |
|---|---|
| Microsoft Entra 多要素認証と SSPR の統合された登録エクスペリエンスを有効にして、ユーザー登録エクスペリエンスを簡略化する | Microsoft Entra 多要素認証とセルフサービス パスワード リセットの両方について、ユーザーが 1 つの共通操作で登録できるようにします。 |
| 組織の多要素認証設定を構成する | 多要素認証を使用した侵害からアカウントを確実に保護する |
| セルフサービス パスワード リセットを有効にする | この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。 |
| パスワード ライトバックを実装する(ハイブリッド ID を使用している場合) | クラウドでのパスワードの変更を、オンプレミスの Windows Server Active Directory 環境に書き戻すことを許可します。 |
| Microsoft Entra ID 保護ポリシーを有効にして多要素認証の登録を実施する | Microsoft Entra 多要素認証のロールアウトを管理します。 |
| ユーザー リスクおよびサインイン リスクに基づく条件付きアクセス ポリシーを有効にする | 推奨されるサインイン ポリシーは、中程度のリスクのサインインをターゲットとし、多要素認証を要求します。 ユーザー ポリシーの場合は、パスワードの変更操作を必要とする危険度の高いユーザーをターゲットにする必要があります。 |
| 条件付きアクセス ポリシーを作成して有効にする | 管理者権限が割り当てられているアカウントを管理者が保護するための多要素認証。 レガシ認証プロトコルに関連するリスクが増加したため、レガシ認証プロトコルをブロックします。 Azure リソースにアクセスするすべてのユーザーに対して多要素認証を要求することで、特権リソースを保護するには、Azure 管理のために多要素認証を必須にします。 |
| パスワード ハッシュ同期を有効にする (ハイブリッド ID を使用している場合) | 認証に冗長性を提供し、セキュリティを強化します (スマート ロックアウト、IP ロックアウト、漏洩した資格情報を検出する機能など) |
| AD FS スマート ロックアウトを有効にする (該当する場合) | 悪意のあるアクティビティによるエクストラネット アカウント ロックアウトの発生からユーザーを保護します。 |
| Microsoft Entra スマート ロックアウトを有効にする (マネージド ID を使用している場合) | スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方法を使用して侵入しようとする悪意のあるユーザーのロックアウトに役立ちます。 |
| アプリケーションに対するエンドユーザーの同意を無効にする | 管理者の同意ワークフローによって、管理者は、エンド ユーザーが会社のデータを漏洩することがないように、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 Microsoft では、将来のユーザーの同意動作をすべて無効にし、攻撃の対象となる領域を減らし、このリスクを軽減することをお勧めしています。 |
| アプリケーション プロキシを使用してオンプレミスのレガシ アプリケーションへのリモート アクセスを有効にする | Microsoft Entra アプリケーション プロキシを有効にし、レガシ アプリと統合して、ユーザーが自分の Microsoft Entra アカウントでサインインすることで、オンプレミスのアプリケーションに安全にアクセスできるようにします。 |
| 安全なハイブリッド アクセスを有効にする:既存のアプリ デリバリー コントローラーとネットワークを使用してレガシ アプリをセキュリティで保護する (該当する場合)。 | オンプレミスやクラウドのレガシ認証アプリケーションを、既存のアプリケーション デリバリー コントローラーまたはネットワークを使用して Microsoft Entra ID に接続することで、それらの認証アプリケーションを発行して保護します。 |
| サポートされている SaaS アプリケーションをギャラリーから Microsoft Entra ID に統合し、シングル サインオンを有効にする | Microsoft Entra ID には、あらかじめ統合された何千ものアプリケーションが含まれるギャラリーがあります。 組織で使用しているアプリケーションの一部は、おそらく、Azure portal から直接アクセスできるギャラリーにあります。 ユーザー エクスペリエンスの向上 (SSO) により、企業の SaaS アプリケーションへのアクセスをリモートで安全に提供します。 |
| SaaS アプリケーションからのユーザー プロビジョニングとプロビジョニング解除を自動化する (該当する場合) | ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションのユーザー ID とロールを自動的に作成します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれ、組織のセキュリティが向上します。 |
| 条件付きアクセスを有効にする – デバイス ベース | デバイスベースの条件付きアクセスを使用して、セキュリティとユーザー エクスペリエンスを向上させます。 この手順によって、ユーザーは、セキュリティとコンプライアンスの基準を満たすデバイスからのみアクセスできるようになります。 これらのデバイスはマネージド デバイスとも呼ばれます。 マネージド デバイスには、Intune に準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスが可能です。 |
| パスワード保護を有効にする | ユーザーが脆弱で簡単に推測できるパスワードを使用できないようにします。 |
| 可能な場合は最小特権ロールを使用する | 管理者には、アクセスする必要がある領域だけに必要なアクセスのみを付与します。 |
| Microsoft のパスワードのガイダンスを有効にする | 設定したスケジュールでのパスワード変更をユーザーに要求することをやめ、複雑さに関する要件を無効にします。ユーザーは自分のパスワードを、より覚えやすく安全な何かのままにしておきやすくなります。 |
| 組織固有の禁止パスワードのカスタム リストを作成する | ユーザーが、お客様の組織や分野において一般的な単語や語句を含むパスワードを作成しないようにします。 |
| ユーザー用にパスワードなしの認証方法をデプロイする | ユーザーに便利なパスワードなしの認証方法を提供します |
| ゲスト ユーザー アクセスの計画を作成する | ゲスト ユーザーが各自の職場 ID、学校 ID、またはソーシャル ID を使用してアプリやサービスにサインインできるようにして、共同作業を行います。 |
| Privileged Identity Management (PIM) を有効にする | 管理者が必要なときに承認を受けた場合にのみアクセス権が得られるように、組織内の重要なリソースへのアクセスの管理、制御、監視を可能にします。 |
| PIM で Microsoft Entra ディレクトリ ロールのアクセス レビューを完了する | セキュリティおよびリーダーシップ チームと協力して、組織のポリシーに基づいて管理アクセスをレビューするアクセス レビュー ポリシーを作成します。 |
ゼロ トラスト
この機能は、組織の ID を、ゼロ トラスト アーキテクチャの 3 つの基本原則に従って運用するのに役立ちます。
- 明示的に検証する
- 最小特権を使う
- 侵害を想定する
ゼロ トラストや、組織で基本原則に従うためのその他の方法について、詳しくは「ゼロトラスト ガイダンス センター」を参照してください。
次のステップ
- Microsoft Entra ID の個々の機能に関する詳細なデプロイ ガイダンスについては、Microsoft Entra ID プロジェクトのデプロイ計画に関する記事を参照してください。
- 組織は、ID セキュリティ スコアを使用して、Microsoft の他の推奨事項に対する進捗状況を追跡できます。