サブスクリプションでの 多要素認証 (MFA) の実施を管理する

ユーザーの認証にパスワードのみを使用している場合は、攻撃ベクトルの可能性が残っています。 ユーザーは多くの場合、脆弱なパスワードを使用したり、複数のサービスで再利用したりします。 MFA を有効にすると、アカウントのセキュリティが強化され、しかもユーザーはそれまでと同様、シングル サインオン (SSO) でほとんどすべてのアプリケーションに対して認証を行うことができます。

組織で所有しているライセンスに基づいて Azure Active Directory (AD) ユーザーに対して MFA を有効にする方法は複数あります。 このページでは、Microsoft Defender for Cloud のコンテキストにおけるそれぞれの詳細について説明します。

MFA および Microsoft Defender for Cloud とは

Defender for Cloud では、MFA に大きな価値があります。 セキュア スコアに最も貢献するセキュリティ コントロールは、MFA を有効にすることです。

[MFA の有効化] コントロールの推奨事項に従うことで、サブスクリプションのユーザーに推奨される運用方法を確実に満たすことができます。

  • サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある
  • サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある

MFA を有効にし、Defender for Cloud の 2 つの推奨事項に準拠するには、セキュリティの既定値、ユーザーごとの割り当て、条件付きアクセス (CA) ポリシーの 3 つの方法があります。

無料オプション - セキュリティの既定値

Azure AD の無償版を使用している場合は、セキュリティの既定値を使用して、テナントで多要素認証を有効にする必要があります。

Microsoft 365 Business、E3、または E5 のお客様の MFA

Microsoft 365 をご利用のお客様は、ユーザーごとの割り当てをご利用いただけます。 このシナリオでは、Azure AD MFA は、すべてのユーザーの、すべてのサインイン イベントに対して有効にするか無効にするかのどちらかとなります。 ユーザーのサブセットに対して、または特定のシナリオ下で多要素認証を有効にすることはできません。管理は、Office 365 ポータルを通じて行います。

Azure AD Premium のお客様向けの MFA

ユーザー エクスペリエンスを向上させるには、条件付きアクセス (CA) ポリシー オプションを利用するために Azure AD Premium P1 または P2 にアップグレードします。 CA ポリシーを構成するには、Azure Active Directory (AD) テナントのアクセス許可が必要です。

CA ポリシーでは以下が必要です。

  • MFA の強制

  • Microsoft Azure 管理アプリ ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) またはすべてのアプリを含める

  • Microsoft Azure 管理アプリ ID を除外しない

Azure AD Premium P1 のお客様は、Azure AD CA を使用して、ビジネス要件に合わせて特定のシナリオやイベントの際に多要素認証をユーザーに求めることができます。 この機能を含むその他のライセンスには、Enterprise Mobility + Security E3、Microsoft 365 F1、Microsoft 365 E3 があります。

Azure AD Premium P2 では、最も強力なセキュリティ機能と向上したユーザー エクスペリエンスを提供します。 このライセンスでは、Azure AD Premium P1 の機能にリスクベースの条件付きアクセスが追加されます。 リスクベースの CA は、ユーザーのパターンに適応し、多要素認証の回数を最小限に抑えます。 この機能を含むその他のライセンスには、Enterprise Mobility + Security E5 や Microsoft 365 E5 があります。

詳細については、Azure の条件付きアクセスに関するドキュメントをご覧ください。

多要素認証 (MFA) が有効になっていないアカウントを識別する

MFA が有効になっていないユーザー アカウントの一覧は、Defender for Cloud 推奨事項の詳細ページから、または Azure Resource Graph を使用して表示できます。

Azure portal で MFA が有効になっていないアカウントを表示する

[推奨事項の詳細] ページで、 [異常なリソース] 一覧からサブスクリプションを選択するか、 [アクションの実行] を選択すると、一覧が表示されます。

Azure Resource Graph を使用して MFA が有効になっていないアカウントを表示する

MFA が有効になっていないアカウントを確認するには、次の Azure Resource Graph クエリを使用します。 このクエリによって、"サブスクリプションの所有者アクセス許可を持つアカウントで MFA を有効にする必要があります" という推奨事項があるすべての異常なリソース (アカウント) が返されます。

  1. Azure Resource Graph エクスプローラーを開きます。

    Azure Resource Graph エクスプローラーの起動** 推奨ページ

  2. 次のクエリを入力し、 [クエリの実行] を選択します。

    securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "MFA should be enabled on accounts with owner permissions on subscriptions"
     | where properties.status.code == "Unhealthy"
    
  3. additionalData プロパティによって、MFA が適用されていないアカウントのアカウント オブジェクト ID の一覧が表示されます。

    Note

    アカウントは、アカウント所有者のプライバシーを保護するために、アカウント名ではなくオブジェクト ID として表示されます。

ヒント

別の方法として、Defender for Cloud REST API メソッド Assessments - Get を使用できます。

FAQ - Defender for Cloud の MFA

既に CA ポリシーを使用して MFA を強制しています。 まだ Defender for Cloud の推奨事項を受け取るのはなぜですか?

推奨事項がまだ生成されている理由を調査するには、MFA CA ポリシーで次の構成オプションを確認します。

  • アカウントは、MFA CA ポリシーの [ユーザー] セクション (または [グループ] セクションのいずれかのグループ) に含まれています
  • Azure 管理アプリ ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) またはすべてのアプリが、MFA CA ポリシーの [アプリ] セクションに含まれています
  • Azure 管理アプリ ID は、MFA CA ポリシーの [アプリ] セクションでは除外されません

サードパーティの MFA ツールを使用して MFA を強制しています。 まだ Defender for Cloud の推奨事項を受け取るのはなぜですか?

Defender for Cloud の MFA の推奨事項では、サードパーティの MFA ツール (DUO など) はサポートされていません。

推奨事項が組織に無関係である場合は、「セキュリティ スコアからのリソースと推奨事項の除外」で説明されているように、それらを「軽減済み」としてマークすることを検討してください。 推奨事項を無効化することもできます。

Defender for Cloud で、サブスクリプションに対するアクセス許可がないユーザー アカウントに "MFA が必要" と表示されるのはなぜですか?

Defender for Cloud の MFA に関する推奨事項は、Azure RBAC ロールと Azure の従来のサブスクリプション管理者ロールに関する情報を参照してください。 どのアカウントにもこれらのロールがないことを確認します。

PIM を使用して MFA を強制しています。 PIM アカウントが非準拠として表示されるのはなぜですか?

現在、Defender for Cloud の MFA に関する推奨事項では、PIM アカウントはサポートされていません。 これらのアカウントは、[ユーザー] または [グループ] セクションで CA ポリシーに追加できます。

一部のアカウントを除外または破棄することはできますか?

MFA を使用しない一部のアカウントを除外する機能は、プレビューの新しい推奨事項で利用可能です。

  • Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。
  • Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。
  • Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。

アカウントを除外するには、次の手順に従います。

  1. 異常なアカウントに関連付けられている MFA 推奨事項を選択します。
  2. [アカウント] タブで、除外するアカウントを選択します。
  3. 3 つのドット ボタンを選択し、 [アカウントの除外]を選択します。
  4. スコープと除外理由を選択します。

どのアカウントが除外されているかを確認する場合は、推奨事項ごとに [除外されたアカウント] に移動します。

ヒント

アカウントを除外すると、そのアカウントは異常と表示されなくなり、サブスクリプションが異常と表示されなくなります。

Defender for Cloud の ID とアクセスの保護には制限がありますか?

Defender for Cloud の ID とアクセスの保護には、いくつかの制限があります。

  • 6,000 を超えるアカウントを持つサブスクリプションでは、ID に関する推奨事項は利用できません。 このような場合、これらの種類のサブスクリプションは [適用なし] タブに表示されます。
  • クラウド ソリューション プロバイダー (CSP) パートナーの管理エージェントでは、ID に関する推奨事項は利用できません。
  • ID に関する推奨事項では、特権 ID 管理 (PIM) システムによって管理されているアカウントは識別されません。 PIM ツールを使用している場合、アクセスとアクセス許可の管理コントロールに不正確な結果が表示されることがあります。
  • ID に関する推奨事項では、ユーザーとグループではなく、含まれているディレクトリ ロールを使用した Azure AD 条件付きアクセス ポリシーはサポートされません。

次の手順

その他の Azure リソースの種類に適用される推奨事項の詳細については、次の記事をご覧ください。