ID インフラストラクチャをセキュリティ保護する 5 つのステップ

このドキュメントをご覧になっているお客様は、セキュリティの重要性を認識なさっていると思います。 おそらく、既に組織をセキュリティで保護する責任を負っていらっしゃるでしょう。 セキュリティの重要性を他の人に理解してもらう必要がある場合は、最新の Microsoft デジタル防御レポートを読むようご案内ください。

このドキュメントでは、5段階のチェックリストを使用して、サイバー攻撃に対する組織の保護を向上させることで、Azure Active Directory の機能を使用してより安全な方法を実現します。

このチェックリストは、重要な推奨アクションを迅速に展開して、組織を直ちに保護するうえで役に立ちます。ここでは、以下の方法について説明されています。

  • 資格情報を強化する
  • 攻撃の対象となる領域を減らす
  • 脅威への対応を自動化する
  • クラウド インテリジェンスを利用する
  • エンドユーザー セルフサービスを有効にする

Note

このドキュメントの推奨事項の多くは、Azure Active Directory を ID プロバイダーとして使用するよう構成されたアプリケーションにのみ適用されます。 シングル サインオンを使用するようアプリを構成すると、資格情報ポリシーや脅威の検出、監査、ログの記録などの機能がこれらのアプリケーションに追加されるという様々な利点があります。 Azure AD アプリケーション管理は、これらのすべての推奨事項の基盤となります。

このドキュメントの推奨事項は、Azure AD テナントの ID セキュリティ構成の自動化された評価である ID セキュリティ スコアと一致しています。 組織は Azure AD ポータルの ID セキュリティ スコア ページを使用して、現在のセキュリティ構成におけるギャップを探し、セキュリティに関する最新の Microsoft のベスト プラクティスに従っていることを確認できます。 セキュリティ スコア ページで各推奨事項を実装するとスコアが上がり、進行状況を追跡することができ、さらに他の似た規模の組織と実装を比較するのに役立ちます。

ID セキュリティ スコアといくつかの推奨事項を示す Azure portal ウィンドウ。

注意

ここで推奨されている機能の一部はすべてのお客様にご利用いただけますが、Azure AD Premiumのサブスクリプションが必要なものもあります。 詳細については、「Azure Active Directory の価格」と Azure AD デプロイに関するチェックリストをご覧ください。

作業を開始する前に、次のことを行います。MFA で特権アカウントを保護します

このチェックリストを読み始める前に、読んでいる間にセキュリティが侵害されないようにしてください。 Azure Active Directory は、1 日に 5000 万パスワード攻撃を受けていますが、多要素認証(MFA)などの強力な認証を使用しているのは、ユーザーの 20 % と、グローバル管理者の 30 % のみです。 これらの統計は、2021 年 8 月のデータに基づいています。 Azure AD では、管理者などの特権ロールを持つユーザーが、環境の他の部分の構築と管理に対する信頼の根幹になります。 セキュリティ侵害の影響を最小限に抑えるため、次のことを実装します。

特権アカウントを制御している攻撃者は、重大な損害を受ける可能性があるため、 続行する前にこれらのアカウントを保護することが重要です。 Azure AD セキュリティの既定値または条件付きアクセスを使用して、すべての管理者に関して Azure AD Multi-Factor Authentication (MFA) を有効にして要求します。 これは重要なことです。

準備はできたでしょうか。 それでは、チェックリストの確認に入りましょう。

ステップ 1. - 資格情報を強化する

同意フィッシングや人間以外のIDに対する攻撃など、他のタイプの攻撃も登場していますが、ユーザーIDに対するパスワード ベースの攻撃は、依然としてID漏洩の最も一般的な方法です。 敵対者による適切に確立されたスピアー フィッシングやパスワード スプレー のキャンペーンは、まだ多要素認証(MFA)を実装していない組織、またはこの一般的な手口に対して他の保護手段を実装していない組織に対して成功し続けています。

組織として、ID がどこでも MFA で検証され、保護されるようにする必要があります。 2020年には、FBI IC3 で、被害の苦情が上位の犯罪類型として、フィッシングが挙げられています。 前年と比較して報告数が2倍になりました。 フィッシングは、企業と個人の双方にとって大きな脅威であり、昨年最も損害を与えた攻撃の多くでクレデンシャル フィッシングが利用されました。 Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) は、データとアプリケーションへのアクセスを保護し、2 つ目の形式の認証を使用して別のセキュリティ層を提供するために役立ちます。 組織は、条件付きアクセスを使用して多要素認証を有効化し、ソリューションを組織の特定のニーズに適合させることができます。 このデプロイ ガイドを参照して、 MFA Azure AD を計画、実装、ロールアウトする方法を確認してください。

組織で強力な認証が使用されるようにする

ID セキュリティの基本レベルを簡単に有効にするには、Azure AD のセキュリティの既定値群でワンクリックで有効にすることができます。 セキュリティの既定値により、テナント内のすべてのユーザーに Azure AD MFA が適用され、従来のプロトコル テナント全体からのサインインがブロックされます。

組織が Azure AD P1 または P2 のライセンスを持っている場合は、条件付きアクセスに関する分析情報とレポート ブックを使用して、構成と適用範囲のギャップを検出することもできます。 これらの推奨事項から、新しい条件付きアクセス テンプレートの経験を利用してポリシーを作成することで、このギャップを簡単に閉じることができます。 条件付きアクセス テンプレートは、Microsoft が推奨するベストプラクティスに沿って新しいポリシーを簡単に展開できるように設計されており、ID とデバイスを保護するための一般的なポリシーを簡単に展開できます。

攻撃されやすいパスワードを禁止して、従来の複雑さと有効期限にのルールを無効にする。

多くの組織では、従来の複雑さとパスワードの有効期限ルールを使用しています。 Microsoft の調査 および ネットワーク検査システムのガイダンス によると、これらのポリシーは推測されやすいパスワードをユーザーが選択する原因となります。 ユーザーが簡単に推測できるパスワードを設定できないように、現在の攻撃者の行動を使用して、動的な禁止パスワード機能に Azure AD パスワード保護 を使用することをお勧めします。 この機能はユーザーがクラウドで作成されるときは常に有効ですが、Windows Server Active Directory 用の Azure AD パスワード保護をデプロイするときにハイブリッド組織に対しても使用できるようになっています。 また、有効期限ポリシーを削除することをお勧めします。 サイバー犯罪者はほとんどの場合、資格情報を侵害するとすぐに使用するため、パスワード変更に抑制効果はありません。 組織のパスワードの有効期限ポリシーを設定するには、次の記事を参照してください。

資格情報の漏洩から保護し、障害に対する回復力を高める

Azure AD でオンプレミス ディレクトリ オブジェクトのクラウド認証を有効にするための最も単純で推奨される方法は、パスワード ハッシュ同期 (PHS) を有効にすることです。 組織がパススルー認証またはフェデレーションによるハイブリッド ID ソリューションを使用する場合、次の 2 つの理由から、パスワード ハッシュ同期を有効にする必要があります。

  • Azure AD の資格情報が漏洩したユーザー レポートでは、で公開されているユーザー名とパスワードのペアについて警告しています。 驚くほど大量のパスワードが、後にセキュリティ侵害されるサードパーティ サイトでのパスワードの再利用、フィッシング、マルウェアによって漏洩しています。 Microsoft は、漏洩した資格情報を多数発見しており、それらがお客様の組織の資格情報に一致する場合に、このレポートでお客様に報告します。ただし、そのためには、パスワード ハッシュの同期を有効にしておくか、クラウド専用 ID を所有している必要があります。
  • ランサムウェア攻撃などのオンプレミスの障害が発生した場合、パスワード ハッシュ同期 を使用するクラウド認証に切り替えることができます。このバックアップ認証方法では、Azure Active Directory による認証が構成されたアプリ (Office 365 など) へのアクセスを継続できます。 この場合、IT スタッフはオンプレミスの停止が解決されるまで、シャドーITや個人のメール アカウントに頼ってデータを共有する必要はありません。

パスワードがクリア テキストで保存されたり、Azure AD の復元可能なアルゴリズムで暗号化されたりすることはありません。 パスワードハッシュ同期の実際のプロセスの詳細については、「 パスワードハッシュ同期のしくみの詳細な説明」を参照してください。

AD FS エクストラネットのスマート ロックアウトを実装する

スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方法を使用して侵入しようとする悪意のあるユーザーのロックアウトを支援します。 スマート ロックアウトは、有効なユーザーからのサインインを認識し、攻撃者や他の不明なソースからのユーザーとは異なる方法で処理できます。 攻撃者はロックアウトされる一方、組織のユーザーは自分のアカウントへのアクセスを継続できるため、生産性を落とすことはありません。 Azure AD で直接認証されるようアプリケーションを構成している組織は、Azure AD スマート ロックアウトを利用できます。 AD FS 2016 と AD FS 2019 を使用したフェデレーション デプロイでは、AD FS エクストラネット ロックアウトとエクストラネット スマート ロックアウトを使用して同様の効果を実現できます。

ステップ 2. - 攻撃の対象となる領域を減らす

漏洩したパスワードが広まりやすいことを考えると、組織において攻撃の対象となる領域を最小化することが重要です。 安全性が低い旧式のプロトコルの使用を無効にし、アクセス エントリ ポイントを制限し、クラウド認証に移行し、リソースへの管理アクセスをより細かく制御し、ゼロの信頼セキュリティの原則を採用します。

クラウド認証を使用する

資格情報は、主要な攻撃ベクトルです。 このブログの実習では、クラウド認証を使用し、MFA をデプロイし、パスワードレス認証方法を使用することで、攻撃対象領域を減らせます。 Windows Hello for Business、Microsoft Authenticator アプリまたは FIDO を使用する電話サインインなど、パスワードレスのメソッドをデプロイできます。

レガシ認証をブロックする

Azure AD による認証と会社データへのアクセスに、独自の古い方法がアプリで使用されている場合、組織には別のリスクが生じます。 レガシ認証が使用されているアプリは、POP3 クライアント、IMAP4 クライアント、SMTP クライアントなどです。 レガシ認証アプリでは、ユーザーの代わりに認証が行われ、Azure AD による高度なセキュリティ評価の実行が妨げられます。 代わりとなる最新の認証では、多要素認証と条件付きアクセスがサポートされているので、セキュリティ リスクを抑えられます。

次の方法が推奨されます。

  1. Azure AD サインイン ログとログ分析ブックを使用して、組織内のレガシ認証を検出します。
  2. 最新の認証を使用するよう SharePoint Online と Exchange Online を設定する。
  3. ライセンスを Azure AD Premium がある場合は、条件付きアクセスポリシーを使用してレガシ認証をブロックします。 Azure AD の free レベルでは、Azure AD セキュリティの既定値を使用します。
  4. AD FS を使用している場合はレガシ認証をブロックする。
  5. Exchange Server 2019 でのレガシ認証をブロックします。
  6. Exchange Online でのレガシ認証を無効にします。

詳細については、 Azure AD の「レガシ認証プロトコルをブロックする」を参照してください。

無効な認証エントリ ポイントをブロックする

明示的な検証の原則を使用すると、侵害されたユーザーの資格情報が発生した場合の影響を軽減する必要があります。 環境内のアプリごとに有効なユース ケースを検討して、どのグループ、ネットワーク、デバイスなどの要素が承認されるかを判断し、残りをブロックします。 Azure AD の条件付きアクセスでは、定義した特定の条件に基づいて、承認されたユーザーがどのようにアプリとリソースにアクセスするかを制御できます。

クラウド アプリとユーザー アクションに条件付きアクセスを使用する方法の詳細については、「条件付きアクセス クラウド アプリ、アクション、および認証コンテキスト」を参照してください。

管理者ロールの確認と管理

もう1つのゼロの信頼関係は、セキュリティが侵害されたアカウントが特権ロールで動作する可能性を最小限に抑える必要があることです。 この制御は、ID に最小限の特権を割り当てることによって実現できます。 Azure AD ロールを初めて使用する場合は、この記事を参照すると Azure AD ロールを理解するのに役立ちます。

Azure AD の特権ロールは、オンプレミスの環境から分離するためにクラウドのみのアカウントにする必要があります。また、資格情報を格納するためにオンプレミスのパスワード保管庫を使用しないでください。

特権アクセス管理を実装する

Privileged Identity Management (PIM) によって、時間ベースおよび承認ベースのロールのアクティブ化が提供され、重要なリソースに対する過剰、不要、または誤用であるアクセス許可のリスクが軽減されます。 これらのリソースには、Azure Active Directory (Azure AD)、Azure、他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) 内のリソースが含まれます。

Azure AD Privileged Identity Management (PIM) は、以下をサポートしており、アカウントの特権を最小限に抑えるのに役立ちます。

  • 管理者ロールに割り当てられたユーザーを特定して管理する。
  • 削除すべき未使用の特権ロールまたは余計な特権ロールを把握する。
  • 多要素認証によって特権ロールが保護されるようルールを確立する。
  • 特権タスクを完了するのに十分な期間のみ特権ロールが付与されるようルールを確立する。

Azure AD PIM を有効にして管理者ロールが割り当てられたユーザーを表示し、それらのロールの不必要なアカウントを削除します。 残りの特権ユーザーを永続から候補に変更します。 最後に、適切な変更制御により、これらの特権ロールにアクセスできる必要がある場合に安全にアクセスできるよう、適切なポリシーを確立します。

Azure AD の組み込みロールとカスタム ロールは、Azure リソースのロールベースのアクセス制御システム (Azure ロール) と同様の概念で動作します。 [この 2 つのロールベースのアクセス制御システムの違い](../../role-based-access-control/rbac-and-directory-admin-roles.md)は次のとおりです。

  • Azure AD ロールでは、Microsoft Graph API を使用して、ユーザー、グループ、アプリケーションなどの Azure AD リソースへのアクセスを制御します
  • Azure ロールでは、Azure Resource Management を使用して、仮想マシンやストレージなどの Azure リソースへのアクセスを制御します

どちらのシステムにも、同様に使用されるロールの定義とロールの割り当ての概念が含まれています。 ただし、Azure AD ロールのアクセス許可を Azure カスタム ロールで使用することはできません。その逆も同様です。 特権アカウントのプロセスをデプロイする一環として、自分自身をロックアウトしてしまった場合でも Azure AD にアクセスできるよう、少なくとも 2 つの緊急アカウントを作成するベスト プラクティスに従ってください。

詳細については、「Privileged Identity Management のデプロイを計画する」および「特権アクセスのセキュリティ保護」を参照してください。

さまざまな Azure AD アプリケーションの同意、アクセス許可と同意の種類、それらが組織のセキュリティ方針に与える意味を理解することが重要です。 ユーザーが自分で同意することを許可すると、Microsoft 365、Azure、その他のサービスと統合する便利なアプリケーションを簡単に入手できますが、慎重に使用し、監視しないとリスクが発生する可能性があります。

Microsoft では、エンドユーザーの同意を制限して、検証された発行元からのアプリに対してのみユーザーに同意を許可すること、および選択したアクセス許可のみを許可することをお勧めします。 エンド ユーザーの同意を無効にした場合でも、以前の同意の許可は有効ですが、それより後のすべての同意操作は管理者が実行する必要があります。 制限された場合、ユーザーは、統合された管理者の同意要求ワークフローまたは独自のサポート プロセスを通して管理者の同意を要求できます。 エンドユーザーの同意を制限する前に、推奨事項を使用して、組織におけるこの変更を計画してください。 すべてのユーザーにアクセスを許可するアプリケーションについては、すべてのユーザーの代わりに同意を与え、個人としてまだ同意していないユーザーがアプリにアクセスできるようにすることを検討してください。 シナリオによってはアプリケーションを利用できるユーザーを限定する場合、アプリケーション割り当てと条件付きアクセスを利用し、特定のアプリへのユーザー アクセスを制限してください。

ユーザーの摩擦を減らすために、サポート量を最小限に抑えるために、また、ユーザーが Azure AD 以外の資格情報でアプリケーションに新規登録することを防ぐために、ユーザーが新しいアプリケーションに関する管理者承認を要求できるようにしてください。 同意操作を規制したら、管理者はアプリを監視し、定期的にアクセス許可に同意します。

詳細については、Azure Active Directory 同意フレームワークに関する記事を参照してください。

ステップ 3. - 脅威への対応を自動化する

Azure Active Directory には、検出と対応に時間差が生じないよう、攻撃を自動的に遮断する多数の機能が備わっています。 犯罪者が環境に侵入するために使える時間を減らせれば、コストとリスクを抑えることができます。 実行できる具体的な手順は以下のとおりです。

詳細については、記事「方法: リスク ポリシーを構成して有効にする」を参照してください。

サインイン リスク ポリシーを実装する

サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。 サインイン リスクベースのポリシーは、特定のユーザーまたはグループに対するリスク レベルを評価する条件付きアクセス ポリシーにサインインリスク条件を追加することによって実装できます。 リスク レベル (高/中/低) に基づいて、アクセスをブロックしたり、多要素認証を適用したりするよう、ポリシーを構成できます。 リスクが中以上のサインインには多要素認証を適用することをお勧めします。

中および高のリスクのサインインに MFA を要求する条件付きアクセス ポリシー。

ユーザーのリスク セキュリティ ポリシーを実装する

ユーザー リスクは、ユーザーの ID がセキュリティ侵害された確率を示すもので、ユーザーの ID に関連付けられているユーザー リスク検出に基づいて計算されます。 ユーザーリスクベースのポリシーは、リスクレベルを特定のユーザーに評価する条件付きアクセスポリシーにユーザーリスク条件を追加することによって実装できます。 低、中、高のリスクレベルに基づいて、アクセスをブロックしたり、多要素認証を使用して安全なパスワードへの変更を要求したりするよう、ポリシーを構成できます。 Microsoft は、リスクの高いユーザーについて、安全なパスワードへの変更を要求することをお勧めします。

リスクの高いユーザーに対してパスワードの変更を要求する条件付きアクセス ポリシー。

ユーザーのリスク検出に含まれるのは、ユーザーの資格情報がサイバー犯罪者によって漏洩した資格情報と一致するかどうかを確認することです。 最適に機能させるには、パスワード ハッシュ同期を Azure AD Connect 同期と共に実装することが重要です。

Microsoft 365 Defender を Azure AD Identity Protection と統合する

ID 保護で、可能な限り高いリスク検出を実行できるようにするには、可能な限り多くのシグナルを取得する必要があります。 したがって、Microsoft 365 Defender サービスの完全なスイートを統合することが重要です。

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

次の短いビデオでは、Microsoft Threat Protection と異なるドメインを統合することの重要性について詳しく説明します。

監視とアラートの設定

疑わしい動作を検出するには、ログの監視と監査が重要です。 Azure portal には、Azure AD ログを Microsoft Sentinel、Azure Monitor、その他の SIEM ツールなどの他のツールと統合するための方法がいくつかあります。 詳細については、「Azure Active Directory セキュリティ操作ガイド」をご覧ください。

ステップ 4 - クラウド インテリジェンスを利用する

セキュリティ関連イベントの監査とログ、および関連する警告は、効率的な保護戦略に欠かせない構成要素です。 セキュリティのログやレポートは、疑わしいアクティビティの電子記録となり、外部からネットワークへの侵入または内部からの攻撃が試みられたこと、または成功したことを示すパターンを検出するために役立ちます。 監査機能を使うと、ユーザー アクティビティの監視、規制へのコンプライアンスの文書化、フォレンジック分析の実行などが可能になります。 警告によってセキュリティ イベントが通知されます。 Azure Monitor または SIEM ツールにエクスポートして、Azure AD のサインイン ログと監査ログの両方に対してログ保持ポリシーが設定されていることを確認します。

Azure AD を監視する

Microsoft Azure のサービスや機能が提供する構成可能なセキュリティ監査およびログのオプションは、セキュリティ ポリシーやセキュリティ メカニズムのギャップを識別してセキュリティ侵害を防止するための対策を講じるうえで役立ちます。 Azure のログと監査を使用できるほか、Azure Active Directory ポータルの監査アクティビティ レポートを使用できます。 ユーザー アカウント、特権アカウント、アプリ、デバイスの監視の詳細については、「 Azure AD セキュリティ操作ガイド」を参照してください。

ハイブリッド環境で Azure AD Connect Health を監視する

Azure AD Connect Health による AD FS の監視では、潜在的な問題に関するより優れた分析情報と、AD FS インフラストラクチャへの攻撃の可視性が得られます。 ADFS のサインインを表示して、監視の詳細を確認できるようになりました。 Azure AD Connect Health では、詳細、解決手順、関連ドキュメントへのリンクが含まれた警告のほか、認証トラフィックに関するいくつかのメトリックの利用状況分析、パフォーマンスの監視、レポートが提供されます。 お使いの環境の基準を特定し、変更があった場合にアラートを通知するために役立つ、 ADFS の危険な IP ブック を利用します。 すべてのハイブリッド インフラストラクチャは、階層0の資産として監視する必要があります。 これらの資産の詳細な監視ガイダンスについては、「 インフラストラクチャのセキュリティ運用ガイド」を参照してください。

Azure AD Identity Protection イベントを監視する

Azure AD Identity Protection で提供される 2 つの重要なレポートを、毎日監視する必要があります。

  1. リスクの高いサインイン レポートでは、調査する必要があるユーザー サインイン アクティビティが明らかになります。正当な所有者がサインインを実行していない可能性があります。
  2. リスクの高いユーザー レポートでは、侵害された可能性があるユーザー アカウントが明らかになります。たとえば、リークが検出された資格情報や、あり得ない移動イベントが発生する別の場所からサインインしたユーザーなどです。

Azure portal の Identity Protection でのアクティビティの概要図。

監査アプリと同意されたアクセス許可

だまされたユーザーが侵害された Web サイトやアプリに移動することで、それらがユーザーのプロファイル情報やメールなどのユーザー データにアクセスできるようになる可能性があります。 悪意のあるアクターは、受け取った同意されたアクセス許可を使用して、メールボックスの内容を暗号化し、メールボックス データを回復するための身代金を要求できます。 ユーザーによって付与されたアクセスを許可を管理者は確認および監査する必要があります。 ユーザーによって付与されたアクセス許可を監査するだけでなく、プレミアム環境で危険または望ましくない OAuth アプリケーションを検索する こともできます。

ステップ 5 - エンドユーザー セルフサービスを有効にする

できるだけセキュリティと生産性のバランスをとる必要があります。 セキュリティの基盤を構築するという考え方でアプローチし、警戒を緩めないままユーザーに権限を与えることで、組織の手間を省くことができます。

セルフサービス パスワード リセットを実装する

Azure AD の セルフサービス パスワード リセット (SSPR) では、IT 管理者は簡単に、ユーザーがヘルプ デスクや管理者の手を借りずにパスワードやアカウントのリセットまたはロック解除を行えるようにできます。 このシステムには、ユーザーがいつパスワードをリセットしたかを追跡する詳細なレポートと、誤用または悪用について警告する通知が用意されています。

セルフサービス グループとアプリケーションのアクセスを実装する

Azure AD を使用すると、セキュリティ グループ、Microsoft 365 グループ、アプリケーション ロール、アクセス パッケージ カタログを使用して、管理者以外のユーザーがリソースへのアクセスを管理できます。 セルフサービス グループ管理を使用すると、グループ所有者は、管理者ロールを割り当てられることなく、自分のグループを管理できます。 ユーザーは、自身の依頼の処理に管理者に頼らずに Microsoft 365 グループを作成および管理することもでき、未使用のグループも自動的に期限切れになります。 Azure AD エンタイトルメント管理を使用すると、包括的なアクセス要求ワークフローと自動有効期限を使用して委任と可視化をさらに高めることができます。 管理者以外のユーザーが所有するグループ、Teams、アプリケーション、および SharePoint Online サイト用に独自のアクセス パッケージを構成する機能を、それらのユーザーに委任することができます。これには、従業員のマネージャーやビジネス パートナー スポンサーの承認者としての構成など、アクセスを承認する必要があるユーザー用のカスタム ポリシーを使用します。

Azure AD アクセス レビューを実装する

Azure AD アクセス レビューでは、アクセス パッケージとグループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、特権ロールの割り当てを管理して、セキュリティ標準を確実に維持できます。 ユーザー自身、リソース所有者、その他のレビュー担当者による通常の監視によって、ユーザーが必要なくなったアクセスを長期間にわたって保持しないですみます。

自動ユーザー プロビジョニングを実装する

プロビジョニングとプロビジョニング解除は、複数のシステム間でデジタル ID の一貫性を確保するプロセスです。 一般に、これらのプロセスは ID ライフサイクル管理の一環として適用されます。

プロビジョニングは、特定の条件に基づいて、対象のシステムに ID を作成するプロセスです。 プロビジョニング解除は、条件を満たさなくなった ID を対象のシステムから削除するプロセスです。 同期は、ソース オブジェクトとターゲット オブジェクトがほぼ一致するように、プロビジョニングされたオブジェクトを最新の状態に維持するプロセスです。

プロビジョニングの自動化に関して、Azure AD には現在 3 つの領域が用意されています。 これらは次のとおりです。

詳細については、以下を参照してください。Azure Active Directory を使用したプロビジョニングとは。

まとめ

ID インフラストラクチャのセキュリティについては多数の側面があります。しかし、この 5 ステップのチェックリストを利用すれば、セキュリティで保護されたより安全な ID インフラストラクチャをすばやく実現できます。

  • 資格情報を強化する
  • 攻撃の対象となる領域を減らす
  • 脅威への対応を自動化する
  • クラウド インテリジェンスを利用する
  • エンドユーザー セルフサービスを有効にする

Microsoft は、お客様がセキュリティの重要性を認識していることを理解しています。ぜひ、このドキュメントを、組織のセキュリティ体制を強化するためのロードマップとしてお役立てください。

次のステップ

推奨アクションの計画と展開にサポートが必要な場合は、Azure AD プロジェクト デプロイ計画をヘルプとして参照してください。

これらの手順を完全に修了したら、Microsoft の ID セキュリティ スコアを使用します。これにより、最新のベスト プラクティスとセキュリティ上の脅威について常に把握し続けることができます。