Microsoft 365 パスワードに関するパスワード ポリシーの推奨事項

Microsoft 365 管理者は、organization内のユーザーのパスワード ポリシーを設定する責任を負います。 パスワード ポリシーの設定は複雑でわかりにくい場合があります。この記事では、パスワード攻撃からの組織の保護を強化するための推奨事項を示します。

Microsoft クラウド専用アカウントには、変更できない定義済みのパスワード ポリシーがあります。 変更できる項目は、パスワードが期限切れになるまでの日数と、パスワードの有効期限が切れるかどうかのみです。

組織で Microsoft 365 パスワードが期限切れとなる頻度を決める場合は、「Microsoft 365 のパスワード有効期限ポリシーを設定する」を参照してください。

パスワードの推奨事項について

適切なパスワード手法は、次のようないくつかのカテゴリに大きく分けられます。

• 一般的な攻撃に抵抗する: これには、ユーザーがパスワードを入力する場所 (適切なマルウェア検出、検証済みサイトを持つ既知および信頼されたデバイス)、および選択するパスワード (長さと一意性) の選択が含まれます。

• 成功した攻撃を含める: ハッカー攻撃の成功を含めるのは、特定のサービスへの公開を制限すること、またはユーザーのパスワードが盗まれた場合にその損害を完全に防ぐことです。 たとえば、ソーシャル ネットワーク資格情報の侵害により、銀行口座が攻撃を受けやすくならないようにしたり、十分に保護されていないアカウントで重要なアカウントのリセット リンクが受け入れられないようにしたりします。

• 人間性を理解する: 多くの有効なパスワード プラクティスは、自然な人間の行動に直面して失敗します。 人間の性質を理解することは非常に重要です。調査によると、ユーザーに課すほぼすべてのルールによってパスワードの品質が低下します。 長さの要件、特殊文字の要件、パスワード変更の要件はすべて、パスワードを正規化することになるため、攻撃者はパスワードを簡単に推測したり、解読したりすることができるようになります。

管理者向けのパスワード ガイドライン

より安全なパスワード システムの最大の目的は、パスワードの多様性です。 パスワード ポリシーに、推測しにくいさまざまなパスワードを多数含める必要があります。 組織を可能な限り安全な状態に保つための推奨事項をいくつか以下に示します。

• 14 文字の最小長の要件を維持します。 (Microsoft 365 では少なくとも 8 文字が必要ですが、セキュリティを強化するために、14 文字以上を使用することをお勧めします)。
• abcdefgやなどの推測しやすいパスワードを使用しないでくださいpassword
• 非作業目的でorganizationパスワードを再利用しないようにユーザーを教育する
• 多要素認証の登録を適用する
• リスクベースの多要素認証の課題を有効にする

ユーザーのパスワード ガイダンス

組織内のユーザー向けパスワード ガイダンスをいくつか以下に示します。 ユーザーに以下の推奨事項を認識してもらい、組織レベルで推奨されるパスワード ポリシーを適用するようにしてください。

• 他の Web サイトで使用しているものと同じ、または似たようなパスワードは使用しない
• passwordや一般的に使用される語句など、1 つの単語を使用しないでください。Iloveyou
• 自分のことをよく知っている人でも、推測しにくいパスワードを設定します。 たとえば、友人や家族の名前や誕生日、お気に入りのバンド、使用するフレーズの使用などです。

推測しやすいパスワードを禁止する

パスワードを作成するときにユーザーに付与する必要がある最も重要なパスワード要件は、推測しやすいパスワードの使用を禁止することで、organizationをブルートフォース パスワード攻撃に対して脆弱にすることです。 たとえば、次のような情報が含まれます。

• abcdefg
• password
• monkey
• 123456

組織のパスワードを他の場所で再利用しないようにユーザーを教育する

組織内のユーザーに伝える最も重要なメッセージの 1 つは、組織のパスワードを他の場所で再利用しないということです。 外部 Web サイトでorganizationパスワードを使用すると、サイバー犯罪者がこれらのパスワードを侵害する可能性が大幅に高くなります。

多要素認証の登録を適用する

ユーザーが、代替メール アドレス、電話番号、プッシュ通知用に登録されたデバイスなどの連絡先とセキュリティ情報を更新し、セキュリティ チャレンジに応答して、セキュリティ イベントに関する通知を受け取れるようにします。 更新された連絡先とセキュリティ情報は、ユーザーが万が一パスワードを忘れてしまった場合、または他のユーザーがアカウントを引き継ごうとした場合の本人確認に役立ちます。 また、サインイン試行やパスワードの変更などのセキュリティ イベントに対する帯域外通知チャネルも提供します。

詳細については、「 多要素認証を設定する」を参照してください。

リスクベースの多要素認証を有効にする

リスクベースの多要素認証により、システムが疑わしいアクティビティを検出すると、ユーザーが正当なアカウント所有者であることを確認するようにユーザーにチャレンジできます。

関連コンテンツ

• パスワードをリセットする
• ユーザーが自分でパスワードをリセットできるようにする
• ユーザーのパスワードを再送信する - 管理者向けヘルプ
• 中小企業が学習を & するのに役立つ