テナント内のすべての設定とリソースを追跡することは、大仕事になる可能性があります。 Microsoft Entra レコメンデーション機能は、テナント状態の監視をサポートするため、人による監視は必要はありません。 これらのレコメンデーションは、テナントが安全で正常な状態であることを確認するのに役立ち、また、Microsoft Entra ID で使用できる機能の価値を最大限に高めることができます。
Microsoft Entra レコメンデーションには、ID セキュリティ スコアに関するレコメンデーションが含まれるようになりました。 これらのレコメンデーションでは、テナントのセキュリティに関する同様の分析情報が提供されます。 詳しくは、「ID セキュリティ スコアとは」を参照してください。
これらの Microsoft Entra レコメンデーションのすべてで、次のための実行可能なガイダンスを含むパーソナライズされた分析情報が提供されます。
- ID のベスト プラクティスを実装する機会を特定するのに役立ちます。
- Microsoft Entra テナントの状態を改善します。
- シナリオに合わせて構成を最適化します。
この記事では、Microsoft Entra レコメンデーションを使用する方法についての概要を説明します。
それはどのように機能しますか?
毎日、Microsoft Entra ID ではテナントの構成を分析します。 この分析の間に、Microsoft Entra ID は、ユーザーのテナントの構成と、セキュリティのベスト プラクティスおよびレコメンデーション データを比較します。 テナントに適用可能であるというフラグがレコメンデーションに設定されている場合は、Microsoft Entra ID 概要の領域にある [レコメンデーション] セクションにレコメンデーションが表示されます。
![[レコメンデーション] オプションが強調表示されているテナントの [概要] ページのスクリーンショット。](media/overview-recommendations/recommendations-overview.png)
各レコメンデーションには、説明、レコメンデーションに対処する値の概要、およびステップバイステップのアクション プランが含まれています。 該当する場合は、推奨事項に関連付けられている影響を受けるリソースが一覧表示されるため、影響を受けるそれぞれの領域を解決できます。 レコメンデーションにリソースが関連付けられていない場合、テナント レベルが影響を受けるリソースの種類になり、ステップ バイ ステップのアクション プランは、特定のリソースだけでなく、テナント全体に影響します。
推奨事項の概要テーブル
次の表に示されている推奨事項は、現在、パブリック プレビューまたは一般提供されています。また、推奨事項が対象とするリソースの種類やその他の情報が含まれています。 パブリック プレビューでのレコメンデーションのライセンス要件は変わる場合があります。 この表では、個別のガイダンスが必要な推奨事項に関する利用可能なドキュメントへのリンクを示します。
| Recommendation | 影響を受けるリソース | 可用性 | ID セキュリティ スコア | 電子メール通知のターゲット ロール |
|---|---|---|---|---|
| AAD Connect の廃止 | テナント | プレビュー | いいえ | ハイブリッド ID の管理者 |
| VPN 統合の構成 | ユーザー | プレビュー | はい | なし |
| ユーザーごとの MFA を条件付きアクセス MFA に変換する | ユーザー | 一般公開 | いいえ | セキュリティ管理者 |
| 複数のグローバル管理者を指定する | ユーザー | 一般公開 | はい | グローバル管理者 |
| 信頼できないアプリケーションへの同意をユーザーに許可しない | テナント | 一般公開 | はい | グローバル管理者 |
| パスワードを有効期限切れにしない | テナント | 一般公開 | はい | グローバル管理者 |
| 正しく構成されていない証明書テンプレートのアクセス制御リストを編集する | アプリケーション | プレビュー | はい | なし |
| 正しく構成されていない登録エージェント証明書テンプレートを編集する | アプリケーション | プレビュー | はい | なし |
| ハイブリッドの場合、パスワード ハッシュ同期を有効にする | テナント | 一般公開 | はい | ハイブリッド ID の管理者 |
| レガシ認証をブロックするポリシーを有効にする | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| セルフサービス パスワード リセットを有効にする | ユーザー | 一般公開 | はい | 認証ポリシー管理者 |
| すべてのユーザーが多要素認証を完了できるようにする | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| AD FS から Microsoft Entra ID にアプリケーションを移行する | アプリケーション | 一般公開 | いいえ | アプリケーション管理者、認証管理者ハイブリッド ID 管理者 |
| 廃止された Azure AD Graph API から Microsoft Graph にアプリケーションを移行する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| ADAL から MSAL に移行する | アプリケーション | 一般公開 | いいえ | アプリケーション管理者 |
| MFA サーバーから Microsoft Entra MFA に移行する | テナント | 一般公開 | いいえ | グローバル管理者 |
| 廃止された Azure AD Graph API から Microsoft Graph にサービス プリンシパルを移行する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| Microsoft Authenticator に移行する | ユーザー | プレビュー | いいえ | グローバル管理者 |
| 既知のデバイスからの MFA プロンプトを最小限に抑える | ユーザー | 一般公開 | いいえ | グローバル管理者 |
| 偽装を防ぐためにセキュリティで保護されていない Kerberos 委任を変更する | アプリケーション | プレビュー | はい | なし |
| サインイン リスク ポリシーを使用してすべてのユーザーを保護する | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| ユーザー リスク ポリシーを使用してすべてのユーザーを保護する | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| Microsoft LAPS を使用してローカル管理者パスワードを保護および管理する | ユーザー | プレビュー | はい | なし |
| Insider Risk 条件付きアクセス ポリシーを使用してテナントを保護 | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| 機密性の高いグループから休止中のアカウントを削除する | ユーザー | プレビュー | はい | なし |
| 機密性の高い Microsoft Entra Connect アカウントに対する安全でないアクセス許可を削除する | ユーザー | プレビュー | はい | なし |
| 未使用のアプリケーションを削除する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| アプリケーションから未使用の資格情報を削除する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| 期限切れ間近のアプリケーションの資格情報を更新する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| 期限切れ間近のサービス プリンシパルの資格情報を更新する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| Microsoft Entra Connect AD DS コネクタのエンタープライズまたはドメイン管理者アカウントを置き換える | ユーザー | プレビュー | はい | なし |
| 管理者ロールに対して MFA を必須にする | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| GPO で可逆的なパスワードが見つかった | ユーザー | プレビュー | はい | なし |
| アクセス レビューによる非アクティブ ユーザーのレビュー | ユーザー | プレビュー | いいえ | Identity Governance 管理者 |
| Microsoft Entra Connect AD DS Connector アカウントのパスワードをローテーションする | ユーザー | プレビュー | はい | なし |
| ユーザーとグループの自動プロビジョニングを使用してアプリをセキュリティで保護し、管理する | アプリケーション | プレビュー | いいえ | アプリケーション管理者、IT ガバナンス管理者 |
| クリア テキスト資格情報の公開を停止する | ユーザー | プレビュー | はい | なし |
| 脆弱な暗号の使用を停止する | テナント | プレビュー | はい | なし |
| 最小限の特権管理ロールを使用する | ユーザー | 一般公開 | はい | 特権ロール管理者 |
| アプリの発行元を確認する | アプリケーション | プレビュー | いいえ | グローバル管理者 |
Microsoft Entra にはテナントに適用されるレコメンデーションのみが表示されるため、サポートされるすべてのレコメンデーションが表示されない場合があります。
ID セキュリティ スコア
ページの先頭に表示される ID セキュリティ スコアは、テナントの正常性を数値で表したものです。 ID セキュリティ スコアに適用されるレコメンデーションには、ページの下部にあるテーブルで個別のスコアが示されます。 セキュリティ フィルター カードを使用して、推奨事項の一覧をフィルター処理して、ID セキュリティ スコアの推奨事項のみを表示できます。 ID セキュリティ スコアのレコメンデーションには、複数のセキュリティ要因に基づいて全体的なスコアとして計算されるセキュリティ スコア ポイントが含まれます。
これらのスコアが加算され、ID セキュリティ スコアが生成されます。 詳しくは、「ID セキュリティ スコアとは」を参照してください。
Microsoft Entra のレコメンデーションは Azure Advisor に関連していますか?
Microsoft Entra のレコメンデーション機能は、Azure Advisor の Microsoft Entra 固有の実装であり、Azure デプロイを最適化するためのベスト プラクティスに従うのに役立つ、パーソナライズされたクラウド コンサルタントです。 Azure Advisor は、リソースの構成と使用データを分析し、Azure リソースの費用対効果、パフォーマンス、信頼性、およびセキュリティを向上させるのに役立つソリューションを推奨します。
Microsoft Entra のレコメンデーションでは、テナントを安全で正常な状態に保つため、Microsoft Entra テナント用の Microsoft のベスト プラクティスのロールアウトと管理をサポートするのに同様のデータを使用します。 Microsoft Entra のレコメンデーション機能は、テナントのセキュリティ、正常性、使用状況に関する包括的な視点を提供します。
電子メール通知 (プレビュー)
Microsoft Entra のレコメンデーションでは、新しいレコメンデーションが生成されたときに電子メール通知が生成されるようになりました。 この新しいプレビュー機能は、レコメンデーションごとに事前に定義されたロールのセットに電子メールを送信します。 たとえば、テナントのアプリケーションの正常性に関連付けられるレコメンデーションは、アプリケーション管理者ロールを持つユーザーに送信されます。
組織が Privileged Identity Management (PIM) を使用している場合、受信者は、電子メール通知を受信するために指定されたロールに昇格する必要があります。 ロールにアクティブに割り当てられているユーザーがいない場合、電子メールは送信されません。 このため、推奨事項を定期的にチェックして、新しい推奨事項を確実に把握することをお勧めします。