Azure AD のセキュリティの既定値群

セキュリティの管理は難しい場合があるため、Microsoft では、すべてのユーザーがセキュリティの既定値群を使用できるようにしています。 現在の環境では、パスワード スプレー、リプレイ、フィッシングなどの ID 関連攻撃が一般的に見られます。 これらの ID 関連攻撃の 99.9% 以上は、多要素認証 (MFA) を使用してレガシ認証をブロックすることによって停止されます。 目標は、すべての組織が追加の費用なしで少なくとも基本レベルのセキュリティを確実に有効にできるようにすることです。

セキュリティの既定値群では、次のような構成済みのセキュリティ設定を使用して、これらの ID 関連攻撃から組織を容易に保護できます。

• すべてのユーザーに対して、Azure AD Multifactor Authentication への登録を必須にします。
• 管理者に多要素認証の実行を要求します。
• 必要に応じてユーザーに多要素認証の実行を要求します。
• レガシ認証プロトコルをブロックします。
• Azure portal へのアクセスなどの特権が必要な作業を保護します。

適した組織

• セキュリティ体制を向上させたいが、どこから始めればいいのかわからない組織。
• Azure Active Directory ライセンスの Free レベルを利用している組織。

条件付きアクセスを使用する必要がある組織

• 現在、条件付きアクセス ポリシーを使用している組織の場合、セキュリティの既定値群は適切ではない場合があります。
• Azure Active Directory の Premium ライセンスを持つ組織には、セキュリティの既定値群は適切ではない場合があります。
• 組織に複雑なセキュリティ要件がある場合は、条件付きアクセスを検討する必要があります。

セキュリティの既定値群の有効化

2019 年 10 月 22 日以降に作成されたテナントの場合、セキュリティの既定値群はテナントで有効になっている可能性があります。 すべてのユーザーを保護するために、セキュリティの既定値群は、作成時にすべての新しいテナントにロールアウトされます。

ディレクトリでセキュリティの既定値群を有効にするには、次のようにします。

1. Azure portal に、セキュリティ管理者、条件付きアクセス管理者、またはグローバル管理者としてサインインします。
2. [Azure Active Directory]>[プロパティ] の順に移動します。
3. [セキュリティの既定値群の管理] を選択します。
4. [セキュリティの既定値群] を [有効] に設定します。
5. [保存] を選択します。

適用されたセキュリティ ポリシー

すべてのユーザーに対して Azure AD Multifactor Authentication への登録を必須にする

テナント内のすべてのユーザーは、Azure AD Multifactor Authentication のフォームを使用して、多要素認証 (MFA) に登録する必要があります。 ユーザーは、14 日以内に Microsoft Authenticator アプリまたはアプリをサポートする OATH TOTP を使用して、Azure AD Multifactor Authentication に登録する必要があります。 14 日が経過すると、ユーザーは登録が完了するまでサインインできなくなります。 14 日の期間は、セキュリティの既定値群が有効になった後、それぞれのユーザーの対話型サインインが最初に成功した時点から始まります。

管理者に多要素認証の実行を要求する

管理者は、より自由に環境にアクセスできます。 これらの高度な特権アカウントには権限があるので、特別な注意を払って対処する必要があります。 特権アカウントの保護を強化するための一般的な方法の 1 つは、サインイン時に、強力な形式のアカウント検証を必須にすることです。 Azure AD では、多要素認証を必須にすることでアカウント検証を強化することができます。

ヒント

管理者向けの推奨事項:

• 認証方法に登録できるように、セキュリティの既定値を有効にした後は、すべての管理者がサインインするようにしてください。
• 管理者の MFA の回数を大幅に減らすために、管理タスクと標準の生産性タスク用に個別のアカウントを用意してください。

次の Azure AD 管理者ロールについては、Azure AD Multifactor Authentication への登録が完了した後、サインインのたびに追加の認証を実行する必要があります。

• 全体管理者
• アプリケーション管理者
• 認証管理者
• 課金管理者
• クラウド アプリケーション管理者
• 条件付きアクセス管理者
• Exchange 管理者
• ヘルプデスク管理者
• パスワード管理者
• 特権認証管理者
• セキュリティ管理者
• SharePoint 管理者
• ユーザー管理者

必要に応じてユーザーに多要素認証の実行を要求する

認証の追加のレイヤーが必要なアカウントは管理者アカウントだけであると考えがちです。 管理者は、機密情報への広範なアクセス権を持ち、サブスクリプション全体の設定に変更を加えることができます。 しかし、多くの場合、攻撃者はエンド ユーザーをターゲットにします。

これらの攻撃者は、アクセス権を取得した後、元のアカウント所有者の代わりに機密性の高い情報へのアクセスを要求できます。 ディレクトリ全体をダウンロードして、組織全体に対してフィッシング攻撃を実行することさえできます。

すべてのユーザーを対象にした保護を向上させるための一般的な方法の 1 つは、全員に多要素認証を要求するなど、より強力な形式のアカウント検証を要求することです。 ユーザーが登録を完了すると、必要に応じて他の認証を求められるようになります。 Azure AD では、場所、デバイス、役割、タスクなどの要因に基づいて、ユーザーに多要素認証の入力を求められるタイミングが決定されます。 この機能は、SaaS アプリケーションを含めて、Azure AD に登録されているすべてのアプリケーションを保護します。

Note

B2B 直接接続ユーザーの場合、リソース テナントで有効になっているセキュリティの既定値による多要素認証の要件 (ホーム テナントの直接接続ユーザーによる多要素認証の登録など) を満たす必要があります。

レガシ認証プロトコルをブロックする

ユーザーがクラウド アプリに簡単にアクセスできるように、Azure AD ではレガシ認証を含め、さまざまな認証プロトコルがサポートされています。 "レガシ認証" は、以下のものによって行われる認証要求を指す用語です。

• 先進認証を使用していないクライアント (Office 2010 クライアントなど)。
• IMAP、SMTP、POP3 などの古いメール プロトコルを使用しているクライアント。

現在、危険にさらそうとするサインイン試行はほとんどレガシ認証から来ています。 レガシ認証では、多要素認証がサポートされていません。 ディレクトリで多要素認証 ポリシーが有効になっている場合でも、攻撃者は、古いプロトコルを使用して認証を受け、多要素認証をバイパスすることができます。

テナントでセキュリティ デフォルトが有効になった後は、古いプロトコルによるすべての認証要求がブロックされます。 セキュリティ既定値は、Exchange Active Sync 基本認証をブロックします。

警告

セキュリティの既定値群を有効にする前に、管理者が古い認証プロトコルを使用していないことを確認してください。 詳細については、レガシ認証から移行する方法に関するページを参照してください。

• Microsoft 365 を使用して電子メールを送信するように多機能機器またはアプリケーションを設定する方法

Azure portal へのアクセスなどの特権が必要な作業を保護する

組織では、Azure Resource Manager API によって管理される、次のようなさまざまな Azure サービスを使用します。

• Azure portal
• Microsoft Entra 管理センター
• Azure PowerShell
• Azure CLI

Azure Resource Manager を使用してご自身のサービスを管理する操作は、高い権限が与えられているアクションです。 Azure Resource Manager では、サービス設定、サブスクリプションの課金など、テナント全体の構成を変更できます。 単一要素認証は、フィッシング、パスワード スプレーなどのさまざまな攻撃に対して脆弱です。

Azure Resource Manager にアクセスして構成を更新しようとするユーザーの ID を検証することが重要です。 アクセスを許可する前に、追加の認証を要求して ID を検証します。

テナントでセキュリティの既定値群を有効にした後、次のサービスにアクセスするすべてのユーザーが多要素認証を完了する必要があります。

• Azure portal
• Azure PowerShell
• Azure CLI

このポリシーは、Azure Resource Manager サービスにアクセスしようとしているユーザーであれば、管理者であるかユーザーであるかに関係なく全員に適用されます。

Note

2017 年より前の Exchange Online テナントでは、先進認証が既定で無効になっています。 これらのテナントを通じて認証を行うときにログイン ループの可能性を回避するために、先進認証を有効にする必要があります。

Note

Azure AD Connect の同期アカウントはセキュリティの既定値群から除外されるため、多要素認証の登録または実行を求められることはありません。 組織は、このアカウントを他の目的で使用しないでください。

デプロイに関する考慮事項

認証方法

セキュリティの既定値群のユーザーは、通知を使用する Microsoft Authenticator アプリを使用して、Azure AD Multifactor Authentication に登録して使用する必要があります。 ユーザーは、Microsoft Authenticator アプリからの確認コードを使用できますが、通知オプションを使用した場合にのみ登録できます。 ユーザーは、OATH TOTP を 使用してコードを生成するサード パーティ製アプリケーションを使用することもできます。

警告

セキュリティの既定値群を使用している場合は、組織のメソッドを無効にしないでください。 メソッドを無効にすると、ご自分のテナントからロックアウトされる可能性があります。 MFA サービス設定ポータルで、 [ユーザーが使用できる方法] をすべて有効のままにしておきます。

バックアップ管理者アカウント

すべての組織で、少なくとも 2 つのバックアップ管理者アカウントを構成する必要があります。 これらは緊急アクセス アカウントと呼ばれています。

これらのアカウントは、通常の管理者アカウントを使用できないシナリオで使用することができます。 たとえば、最後にグローバル管理者アクセス権を持っていたユーザーが組織からいなくなったとします。 Azure AD では最後のグローバル管理者アカウントを削除できないようになっていますが、オンプレミスでアカウントが削除または無効化されるのを防ぐことはできません。 いずれの場合も、アカウントを復旧できなくなる可能性があります。

緊急アクセス アカウントは次の通りです:

• Azure AD でグローバル管理者権限が割り当てられます。
• 日常的に使用されません。
• 長く複雑なパスワードで保護されています。

これらの緊急アクセス アカウントの資格情報は、安全な場所 (耐火金庫など) にオフラインで保存する必要があります。 これらの資格情報には、許可された個人のみがアクセスできるようにする必要があります。

緊急アクセス用アカウントを作成するには、次のようにします。

1. 既存の全体管理者として Azure portal にサインインします。
2. [Azure Active Directory]>[ユーザー] の順に移動します。
3. [ 新規ユーザー] を選択します。
4. [Create user](ユーザーの作成) を選択します。
5. アカウントの [ユーザー名] を指定します。
6. アカウントの [名前] を指定します。
7. アカウントに長く複雑なパスワードを作成します。
8. [ロール] には、[グローバル管理者] ロールを割り当てます。
9. [使用場所] では、適切な場所を選択します。
10. ［作成］ を選択します

Azure AD PowerShell を使用して、これらのアカウントのパスワードの有効期限を無効にできます。

緊急アクセス アカウントの詳細については、「Azure AD で緊急アクセス用アカウントを管理する」の記事を参照してください。

B2B ユーザー

ディレクトリにアクセスするすべての B2B ゲスト ユーザーまたは B2B 直接接続ユーザーは、組織のユーザーと同じように扱われます。

無効な MFA の状態

組織が以前からユーザー ベースの Azure AD Multifactor Authentication のユーザーである場合は、多要素認証の状態のページを確認したときに、[有効] または [強制] 状態にあるユーザーが表示されなくても問題ありません。 セキュリティの既定値群または条件付きアクセス ベースの Azure AD Multifactor Authentication を使用しているユーザーの場合は、[無効] が適切な状態です。

条件付きアクセス

条件付きアクセスを使用して、セキュリティの既定値群に似たポリシーを構成できますが、厳密には セキュリティの既定値群では利用できない、他の認証方法の選択とユーザーの除外が可能です。 現在環境で条件付きアクセスを使用している場合、セキュリティの既定値群は使用できません。

条件付きアクセスを有効にして一連のポリシーを構成する場合、これは ID を保護するための優れた開始点となります。

• 管理者に対して MFA を必須にする
• Azure 管理のために MFA を必須にする
• レガシ認証をブロックする
• すべてのユーザーに対して MFA を必須にする

セキュリティの既定値群を無効にする

セキュリティの既定値群を置き換える条件付きアクセス ポリシーを実装する組織では、セキュリティの既定値群を無効にする必要があります。

ディレクトリでセキュリティの既定値群を無効にするには、次のようにします。

1. Azure portal に、セキュリティ管理者、条件付きアクセス管理者、または全体管理者としてサインインします。
2. [Azure Active Directory]>[プロパティ] の順に移動します。
3. [セキュリティの既定値群の管理] を選択します。
4. [セキュリティの既定値群] を [Disabled (not recommended)] (無効 (非推奨)) に設定します。
5. [保存] を選択します。

次のステップ

• ブログ: セキュリティの既定値群の導入
• 一般的な条件付きアクセス ポリシー
• Azure AD ライセンスの詳細については、Azure AD の価格に関するページを参照してください。