次の方法で共有

オンプレミスの攻撃から Microsoft 365 を保護する

多くのお客様は、プライベートな企業ネットワークを Microsoft 365 に接続して、ユーザー、デバイス、アプリケーションがベネフィットを得られるようにしています。 脅威アクターは、よく文書化された方法でこれらのプライベート ネットワークを侵害する可能性があります。 Microsoft 365 は、クラウドへの環境の最新化に投資した組織にとって、一種の神経系として機能します。 オンプレミスのインフラストラクチャの侵害から Microsoft 365 を保護することが重要です。

この記事では、オンプレミスの侵害から Microsoft 365 クラウド環境を保護するためにシステムを構成する方法について説明します。

  • Microsoft Entra テナントの構成設定。
  • Microsoft Entra テナントをオンプレミス システムに安全に接続する方法。
  • オンプレミスの侵害からクラウド システムを保護する方法でシステムを運用するために必要なトレードオフ。

Microsoft では、この記事のガイダンスを実装することを強くお勧めします。

オンプレミス環境での脅威のソース

Microsoft 365 クラウド環境は、広範な監視とセキュリティのインフラストラクチャからベネフィットを受けています。 Microsoft 365 は、機械学習と人の知性を使用して、世界中のトラフィックに注意を向けています。 これにより、攻撃を迅速に検出し、ほぼリアルタイムで再構成できます。

ハイブリッド デプロイでは、オンプレミスのインフラストラクチャを Microsoft 365 に接続できます。 こうしたデプロイでは、多くの組織で、重要な認証およびディレクトリ オブジェクトの状態管理の決定のため、オンプレミスのコンポーネントに信頼が委任されます。 脅威アクターがオンプレミス環境を侵害した場合、これらの信頼関係は、Microsoft 365 環境を侵害する機会にもなります。

2 つの主要な脅威ベクトルは、"フェデレーションの信頼関係" と "アカウントの同期" です。どちらのベクトルによっても、攻撃者にクラウドへの管理アクセスが許可されます。

  • フェデレーションの信頼関係 (Security Assertion Markup Language (SAML) 認証など) は、オンプレミスの ID インフラストラクチャを介して Microsoft 365 に対する認証を行うために使用されます。 SAML トークン署名証明書が侵害された場合、フェデレーションにより、その証明書を持つすべてのユーザーは、クラウド内の任意のユーザーを偽装できるようになります。 このベクトルを軽減するには、可能であれば、Microsoft 365 への認証のフェデレーション信頼関係を無効にすることをお勧めします。 また、オンプレミスのフェデレーション インフラストラクチャを使用する他のアプリケーションを移行して、認証に Microsoft Entra を使用することもお勧めします。
  • アカウント同期を使用して、特権ユーザー (資格情報を含む) または Microsoft 365 の管理特権を持つグループを変更します。 このベクトルを軽減するには、同期されたオブジェクトが Microsoft 365 のユーザーを超える特権を保持しないようにすることをお勧めします。 権限は、直接制御することも、信頼されたロールまたはグループに含めることによって制御することもできます。 これらのオブジェクトに、信頼されたクラウドのロールまたはグループにおいて、確実に直接または入れ子の割り当てがないようにします。

オンプレミスの侵害から Microsoft 365 を保護する

オンプレミスの脅威に対処するには、次の図に示す 4 つの原則に従うことをお勧めします。

次の一覧で説明するように、Microsoft 365 を保護するための参照アーキテクチャを示す図。

  1. Microsoft 365 管理者アカウントを完全に分離します。 それらは次のようになっている必要があります。

    これらの管理者アカウントは制限付きの使用アカウントです。 Microsoft 365 では、オンプレミスのアカウントが管理者特権を持つことはできません。

    詳細については、「管理者ロールについて」および「Microsoft Entra ID における Microsoft 365 のロールについて」を参照してください。

  2. Microsoft 365 からデバイスを管理します。 Microsoft Entra 参加とクラウドベースのモバイル デバイス管理 (MDM) を使用して、オンプレミスのデバイス管理インフラストラクチャへの依存関係を排除します。 これらの依存関係は、デバイスとセキュリティ制御を侵害するおそれがあります。

  3. オンプレミスのアカウントが、Microsoft 365 に対する昇格された特権を持たないようにしてください。 一部のアカウントは、NTLM、ライトウェイト ディレクトリ アクセス プロトコル (LDAP)、または Kerberos 認証を必要とするオンプレミス アプリケーションにアクセスします。 これらのアカウントは、組織のオンプレミス ID インフラストラクチャ内に存在する必要があります。 これらのアカウントとサービス アカウントを、特権クラウド ロールまたはグループに含めないようにします。 これらのアカウントに対する変更がクラウド環境の整合性に影響しないようにします。 特権のあるオンプレミス ソフトウェアが、Microsoft 365 の特権のあるアカウントまたはロールに影響を与えることができないようにする必要があります。

  4. Microsoft Entra クラウド認証を使用して、オンプレミスの資格情報への依存関係を排除します。 Windows Hello for Business、 MacOS のプラットフォーム資格情報、パスキー (FIDO2)、Microsoft Authenticator パスキー、証明書ベースの認証など、フィッシングに強い認証方法を常に使用します。

特定のセキュリティに関する推奨事項

以降のセクションでは、この記事の原則を実装する方法に関するガイダンスを提供します。

特権 ID を分離する

Microsoft Entra ID では、管理者などの特権ロールを持つユーザーが、環境の他の部分の構築と管理に対する信頼の根幹になります。 セキュリティ侵害の影響を最小限に抑えるため、次のことを実装します。

  • Microsoft Entra ID と Microsoft 365 の特権ロールには、クラウド専用アカウントを使用します。
  • Microsoft 365 と Microsoft Entra ID を管理するための特権アクセス用に、特権アクセス デバイスをデプロイします。 「デバイスのロールとプロファイル」を参照してください。
  • Microsoft Entra Privileged Identity Management (PIM) をデプロイして、特権ロールを持つすべての人間のアカウントに Just-In-Time アクセスできるようにします。 ロールをアクティブ化するには、フィッシングに対する耐性のある認証が必要です。
  • 必要なタスクを実行するために必要な最小限の特権を許可する管理者ロールを提供します。 「Microsoft Entra ID のタスク別の最小特権ロール」を参照してください。
  • 同時に委任と複数のロールが含まれる、より充実したロール割り当てエクスペリエンスを有効にするには、Microsoft Entra セキュリティ グループまたは Microsoft 365 グループを使用することを検討します。 まとめて、これらの クラウド グループと呼びます。
  • ロールベースのアクセス制御を有効にします。 「Microsoft Entra のロールを割り当てる」を参照してください。 Microsoft Entra ID の管理単位を使用して、ロールのスコープを組織の一部に制限します。
  • 資格情報を格納するために、オンプレミスのパスワード コンテナーではなく緊急アクセス アカウントをデプロイします。 「Microsoft Entra ID で緊急アクセス用アカウントを管理する」を参照してください。

詳細については、「Microsoft Entra ID での管理者の特権アクセスのセキュリティ保護とセキュリティで保護されたアクセス方法」を参照してください。

クラウド認証を使用する

資格情報は、主要な攻撃ベクトルです。 資格情報のセキュリティ保護を高めるには、次の方法を実装します。

  • パスワードなしの認証をデプロイします。 パスワードのない資格情報をデプロイすることで、パスワードの使用を可能な限り減らします。 これらの資格情報は、クラウドでネイティブに管理および検証できます。 詳細については、「 Microsoft Entra ID でのフィッシングに強いパスワードレス認証の展開の概要」を参照してください。 以下の認証方法から選択します。

  • 多要素認証をデプロイします。 詳細については、「Microsoft Entra 多要素認証のデプロイを計画する」を参照してください。 Microsoft Entra MFA を使用して複数の強力な資格情報をプロビジョニングします。 そのようにすると、クラウド リソースへのアクセスには、オンプレミスのパスワードに加えて、Microsoft Entra ID で管理される資格情報が必要になります。 詳細については、「資格情報管理を使用して回復性を強化する」と 「Microsoft Entra ID を使用して回復性があるアクセス制御管理戦略を作成する」を参照してください。

  • デバイスから SSO を最新化します。 Windows 11、 macOS、Linux、モバイル デバイスの最新のシングル サインオン (SSO) 機能を利用します。

  • 考慮 事項。 ハイブリッド アカウントのパスワードの管理には、パスワード保護エージェントやパスワード ライトバック エージェントなどのハイブリッド コンポーネントが必要です。 攻撃者がオンプレミスのインフラストラクチャを侵害した場合、これらのエージェントが存在するマシンを制御できます。 この脆弱性により、クラウド インフラストラクチャが侵害されることはありません。 特権ロールにクラウド アカウントを使用しても、これらのハイブリッド コンポーネントはオンプレミスの侵害から保護されません。

    Microsoft Entra の既定のパスワード有効期限ポリシーでは、同期されたオンプレミス アカウントのアカウント パスワードが [期限なし] に設定されます。 この設定は、オンプレミスの Active Directory パスワード設定で軽減できます。 Active Directory のインスタンスが侵害され、同期が無効になっている場合は、 CloudPasswordPolicyForPasswordSyncedUsersEnabled オプションを設定して、パスワードの変更を強制するか、パスワードから フィッシングに強いパスワード認証に移行します。

クラウドからのユーザー アクセスをプロビジョニングする

プロビジョニングとは、アプリケーションまたは ID プロバイダーにユーザー アカウントとグループを作成することです。

プロビジョニング アーキテクチャの図は、Microsoft Entra ID と Cloud HR、Microsoft Entra B2B、Azure アプリプロビジョニング、グループベースのライセンスの相互作用を示しています。

次のプロビジョニング方法をお勧めします。

  • クラウド HR アプリから Microsoft Entra ID にプロビジョニングする。 このプロビジョニングにより、オンプレミスの侵害を分離することができます。 この分離によって、クラウド HR アプリから Microsoft Entra ID への Joiner-Mover-Leaver サイクルが中断されることはありません。

  • クラウド アプリケーション 可能であれば、オンプレミス のプロビジョニング ソリューションではなく、Microsoft Entra ID でアプリ プロビジョニングをデプロイします。 この方法では、サービスとしてのソフトウェア (SaaS) アプリの一部を、オンプレミスの侵害の悪意のある攻撃者プロファイルから保護します。

  • 外部 ID。 Microsoft Entra External ID B2B コラボレーションを使用して、パートナー、顧客、サプライヤーとの外部コラボレーションのためのオンプレミス アカウントへの依存関係を減らします。 他の ID プロバイダーとの直接フェデレーションを慎重に評価します。 次の方法で B2B ゲスト アカウントを制限することをお勧めします。

    • ディレクトリ内の参照グループおよびその他のプロパティへのゲスト アクセスを制限します。 外部コラボレーション設定を使用して、ゲストがメンバーではないグループを読み取る機能を制限します。
    • Azure portal へのアクセスをブロックします。 まれに必要となる例外を作成できます。 すべてのゲストと外部ユーザーを含む 条件付きアクセス ポリシーを作成します。 その後、アクセスをブロックするポリシーを実装します。

  • 切断されたフォレスト。 Microsoft Entra クラウド プロビジョニングを使用して、切断されたフォレストに接続します。 この方法により、オンプレミスの侵害の影響を広げるおそれがあるフォレスト間の接続や信頼関係を確立する必要がなくなります。 詳細については、「 Microsoft Entra Connect Cloud Sync とは」を参照してください。

  • 考慮 事項。 ハイブリッド アカウントのプロビジョニングに使用する場合、クラウド HR システムからの Microsoft Entra ID は、オンプレミスの同期に依存して、Active Directory から Microsoft Entra ID へのデータ フローを完了します。 同期が中断された場合、新しい従業員レコードを Microsoft Entra ID で利用できなくなります。

コラボレーションとアクセスにクラウド グループを使用する

クラウド グループを使用すると、オンプレミス インフラストラクチャからのコラボレーションとアクセスを切り離すことができます。

  • コラボレーション: 最新のコラボレーションのために Microsoft 365 グループと Microsoft Teams を使用します。 オンプレミスの配布リストの使用を停止し、 配布リストを Outlook の Microsoft 365 グループにアップグレードします。
  • アクセス。 Microsoft Entra セキュリティ グループまたは Microsoft 365 グループを使用して、Microsoft Entra ID でアプリケーションへのアクセスを承認します。 オンプレミス アプリケーションへのアクセスを制御するには、 Microsoft Entra Cloud Sync を使用して Active Directory にグループをプロビジョニングすることを検討してください。
  • ライセンス。 グループベースのライセンスを使用して、クラウド専用グループを使用して Microsoft サービスにプロビジョニングします。 この方法により、グループ メンバーシップの制御がオンプレミスのインフラストラクチャから切り離されます。

オンプレミスの侵害でメンバーシップの引き継ぎを回避するために、アクセスに使用されるグループの所有者を特権 ID と見なします。 引き継ぎには、Microsoft 365 動的グループ メンバーシップに影響を与える可能性がある、直接のオンプレミス グループ メンバーシップ操作またはオンプレミスの属性操作が含まれます。

クラウドからデバイスを管理する

Microsoft Entra 機能を使用してデバイスを安全に管理します。

モバイル デバイス管理ポリシーを使用して、Microsoft Entra 参加済み Windows 11 ワークステーションを展開します。 Windows Autopilot を有効にして、完全に自動化されたプロビジョニング エクスペリエンスを実現します。 「Microsoft Entra 参加の実装を計画する」を参照してください。

ワークロード、アプリケーション、リソース

このセクションでは、ワークロード、アプリケーション、およびリソースに対するオンプレミス攻撃から保護するための推奨事項を示します。

  • オンプレミスのシングル サインオン (SSO) システム。 オンプレミスのフェデレーションと Web アクセス管理インフラストラクチャを廃止します。 Microsoft Entra ID を使用するようにアプリケーションを構成します。 フェデレーションに AD FS を使用している場合は、「 AD FS から Microsoft Entra ID にアプリケーション認証を移行する段階について理解する」を参照してください。
  • 先進認証プロトコルをサポートする SaaS および基幹業務 (LOB) アプリケーション。 Microsoft Entra ID でシングル サインオンを使用します。 認証に Microsoft Entra ID を使用するようにアプリを構成して、オンプレミスの侵害のリスクを軽減します。
  • レガシーアプリケーション。 Microsoft Entra Private Access を使用して、先進認証をサポートしていないレガシ アプリケーションへの認証、承認、リモート アクセスを有効にすることができます。 最初の手順として、Microsoft Entra Private Access クイック アクセスを使用して内部ネットワークへの最新のアクセスを有効にします。 この手順では、条件付きアクセスのセキュリティで保護された機能を使用して、VPN の 1 回限りの構成をすばやく簡単に置き換える方法を提供します。 次に、TCP ベースまたは UDP ベースのアプリケーションへのアプリごとのアクセスを構成します。
  • 条件付きアクセス。 SaaS、LOB、レガシ アプリケーションの条件付きアクセス ポリシーを定義して、フィッシングに強い MFA やデバイス コンプライアンスなどのセキュリティ制御を適用します。 詳細については、「 Microsoft Entra 条件付きアクセスの展開を計画する」を参照してください。
  • アクセスライフサイクル Microsoft Entra ID Governance を使用してアプリケーションとリソースへのアクセス ライフサイクルを制御し、最小限の特権アクセスを実装します。 情報やリソースへのアクセス権をユーザーに付与するのは、タスクを実行するために本当に必要がある場合に限定します。 SaaS、LOB、レガシ アプリケーションを Microsoft Entra ID ガバナンスと統合します。 Microsoft Entra ID Entitlement Management は、アクセス要求ワークフロー、アクセスの割り当て、レビュー、有効期限を自動化します。
  • アプリケーション サーバーとワークロード サーバー。 サーバーを必要とするアプリケーションまたはリソースを Azure サービスとしてのインフラストラクチャ (IaaS) に移行できます。 Microsoft Entra Domain Services を使用して、Active Directory のオンプレミス インスタンスに対する信頼と依存関係を切り離します。 この分離を実現するには、Microsoft Entra Domain Services に使われる仮想ネットワークが、企業ネットワークに接続されていないことを確認してください。 資格情報の階層化を使用します。 通常、アプリケーション サーバーは階層 1 の資産と見なされます。 詳細については、「エンタープライズ アクセス モデル」を参照してください。

条件付きアクセス ポリシー

Microsoft Entra 条件付きアクセスを使用して、信号を解釈し、それを使用して認証の決定を行います。 詳細については、条件付きアクセスのデプロイ計画に関するページを参照してください。

モニター

Microsoft 365 をオンプレミスの侵害から保護するように環境を構成したら、環境を事前に監視します。 詳細については、「 Microsoft Entra 監視とは」を参照してください。

組織に固有のシナリオに加えて、次の主要なシナリオを監視します。

  • 疑わしいアクティビティ。 すべての Microsoft Entra リスク イベントで疑わしいアクティビティを監視します。 「方法: リスクの調査」を参照してください。 Microsoft Entra ID Protection は、 Microsoft Defender for Identity とネイティブに統合されます。 場所ベースのシグナルで多くのノイズが検出されないよう、ネットワークのネームド ロケーションを定義します。 「条件付きアクセスポリシーでの場所の条件の使用」を参照してください。

  • ユーザーとエンティティの行動分析 (UEBA) アラート。 UEBA を使用して、異常検出に関する分析情報を取得します。 Microsoft Defender for Cloud Apps は、クラウドでの UEBA を提供しています。 「危険性の高いユーザーを調査する」を参照してください。 Microsoft Defender for Identity からオンプレミスの UEBA を統合できます。 Microsoft Defender for Cloud アプリは Microsoft Entra ID Identity Protection からシグナルを読み取ります。 高度な脅威を検出するためのエンティティ動作分析の有効化に関するページを参照してください。

  • 緊急アクセスアカウントの活動。 緊急アクセス アカウントを使用するすべてのアクセスを監視します。 「Microsoft Entra ID で緊急アクセス用アカウントを管理する」を参照してください。 調査用のアラートを作成します。 この監視には、次のアクションを含める必要があります。

    • サインイン
    • 資格情報の管理
    • グループ メンバーシップのすべての更新
    • アプリケーションの割り当て

  • 特権役割の活動。 Microsoft Entra Privileged Identity Management (PIM) によって生成される セキュリティ アラート を構成して確認します。 ユーザーが直接割り当てられたときに常にアラートを生成することで、PIM の外部での特権ロールの直接割り当てを監視します。

  • Microsoft Entra のテナント全体構成。 テナント全体の構成が変更されたら常に、システムでアラートが生成されるようにする必要があります。 次の変更を含めます (ただし、これらに限定されません)。

    • 更新されたカスタム ドメイン
    • 許可リストとブロックリストに対する Microsoft Entra B2B の変更
    • Microsoft Entra B2B は、SAML ID プロバイダーなどの許可された ID プロバイダーに対する変更を直接フェデレーションやソーシャル サインインを通じて行います。
    • 条件付きアクセスまたはリスク ポリシーの変更

  • アプリケーション オブジェクトとサービス プリンシパル オブジェクト

    • 条件付きアクセス ポリシーが必要になる可能性がある新しいアプリケーションまたはサービス プリンシパル
    • サービス プリンシパルに追加された資格情報
    • アプリケーションの同意アクティビティ

  • カスタム ロール

    • カスタム ロールの定義の更新
    • 新規作成されたカスタム ロール

このトピックに関する包括的なガイダンスについては、 Microsoft Entra セキュリティ運用ガイドを参照してください。

ログの管理

一貫したツール セットを容易にするために、ログのストレージと保持の戦略、設計、および実装を定義します。 たとえば、Microsoft Sentinel などのセキュリティ情報およびイベント管理 (SIEM) システム、一般的なクエリ、調査とフォレンジクスのプレイブックについて考えてみましょう。

  • Microsoft Entra ログ。 診断、ログの保持、SIEM インジェストなどの設定のベスト プラクティスに常に従って、生成されたログとシグナルを取り込みます。

  • Microsoft Entra ID は、 複数の ID ログに対して Azure Monitor 統合を提供します。 詳細については、 Azure Monitor の Microsoft Entra アクティビティ ログ を参照し、 Copilot で危険なユーザーを調査します。

  • ハイブリッド インフラストラクチャ オペレーティング システムのセキュリティ ログ。 ハイブリッド ID インフラストラクチャのすべてのオペレーティングシステムログを、脅威の範囲に関連する影響を考慮して、階層 0 システムとしてアーカイブし、細心の注意を払って監視します。 次の要素が含まれます。

    • Microsoft Entra Private Access と Microsoft Entra アプリケーション プロキシ用のプライベート ネットワーク コネクタ。
    • パスワード書き戻しエージェント。
    • パスワード保護ゲートウェイ マシン。
    • Microsoft Entra 多要素認証 RADIUS 拡張機能を持つネットワーク ポリシー サーバー (NPS)。
    • Microsoft Entra Connect
    • Microsoft Entra Connect Health をデプロイし、ID の同期を監視する必要があります。

このトピックに関する包括的なガイダンスについては、インシデント対応プレイブックを確認し、Copilot で危険なユーザーを調査します

次のステップ