ゼロ トラスト ID とデバイスのアクセスの構成
現代の従業員は、従来の企業ネットワークの境界を越えて存在するアプリケーションやリソースにアクセスする必要があります。 ネットワーク ファイアウォールや仮想プライベート ネットワーク (VPN) を利用してリソースへのアクセスを分離および制限するセキュリティ アーキテクチャでは、もはや十分ではありません。
この新たなコンピューティングの時流に対処するために、Microsoft はゼロ トラスト セキュリティ モデルを強く推奨しています。このモデルの土台となっているのは、これらの基本原則です。
- 明示的に検証する - 常にすべての使用可能なデータ ポイントに基づいて、認証と承認を行います。 この検証では、サインインと継続的な検証にとってゼロ トラスト ID とデバイス アクセス ポリシーが重要です。
- 最小限の特権アクセスを使用する - Just-In-Time および Just-Enough-Access (JIT/JEA)、リスクベースの適応型ポリシー、データ保護を使用して、ユーザーのアクセスを制限します。
- 侵害を想定する - 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を得て、脅威検出を促進し、防御を強化します。
ゼロ トラストの全体的なアーキテクチャを次に示します。
ゼロ トラスト ID とデバイス アクセス ポリシーは、次の "明示的に確認する" の基本原則に対応します。
- ID: ある ID がリソースにアクセスしようとすると、強力な認証を使ってその ID を確認し、要求されたアクセスが準拠していることと、通常のものであることを確認します。
- デバイス (エンドポイントとも呼ばれます): セキュリティで保護されたアクセスのためにデバイスの正常性とコンプライアンスの要件を監視し、適用します。
- アプリケーション: 制御とテクノロジを適用して以下のことを行います。
- アプリ内の適切なアクセス許可を確認する。
- リアルタイム分析に基づいてアクセスを制御する。
- 異常な動作を監視する
- ユーザー アクションを制御する。
- セキュリティで保護された構成オプションを検証する。
この記事シリーズでは、Microsoft Entra ID、条件付きアクセス、Microsoft Intune などの機能を使った一連の ID およびデバイス アクセスの構成とポリシーについて説明します。 これらの構成とポリシーにより、エンタープライズ クラウド アプリとサービス、その他の SaaS サービス、Microsoft Entra アプリケーション プロキシを使って公開されているオンプレミス アプリケーションに対して、Microsoft 365 へのゼロ トラスト アクセスが提供されます。
ゼロ トラスト ID とデバイス アクセスの設定とポリシーは、次の 3 つのレベルで推奨されます。
- 出発点。
- Enterprise.
- 高度に規制されるデータまたは機密データがある環境に特化したセキュリティ。
これらのレベルとそれに対応する構成により、データ、ID、デバイス全体にわたる一貫したレベルのゼロ トラスト保護を実現できます。 これらの機能とその推奨事項:
- Microsoft 365 E3 と Microsoft 365 E5 でサポートされています。
- Microsoft セキュア スコアおよび Microsoft Entra ID の ID スコアと合致しています。 推奨事項に従うと、組織のこれらのスコアが向上します。
- これらの ID インフラストラクチャをセキュリティで保護するための 5 つの手順を実装するのに役立ちます。
組織に独自の要件や複雑さがある場合は、これらの推奨事項を出発点として使ってください。 ただし、ほとんどの組織は、規定のとおりにこれらの推奨事項を実装できます。
Microsoft 365 for Enterprise の ID とデバイス アクセス構成の概要については、この動画をご覧ください。
Note
Microsoft は、Office 365 サブスクリプション向けの Enterprise Mobility + Security (EMS) ライセンスも販売しています。 EMS E3 と EMS E5 の機能は、Microsoft 365 E3 と Microsoft 365 E5 と同等です。 詳細については、EMS プランのページを参照してください。
対象ユーザー
これらの推奨事項は、Microsoft 365 クラウドの生産性とセキュリティ サービスに精通しているエンタープライズ アーキテクトと IT プロフェッショナルを対象としています。 これらのサービスには、Microsoft Entra ID (ID)、Microsoft Intune (デバイス管理)、Microsoft Purview 情報保護 (データ保護) が含まれています。
お客様の環境
推奨されるポリシーは、Microsoft クラウド内ですべての業務を行っている企業組織と、ハイブリッド ID インフラストラクチャを使っているお客様の両方に適用されます。 ハイブリッド ID 構造とは、Microsoft Entra ID と同期されているオンプレミスの Active Directory フォレストです。
推奨事項の多くは、次のライセンスでのみ使用できるサービスに依存しています。
- Microsoft 365 E5。
- E5 セキュリティ アドオンをインストールした Microsoft 365 E3。
- EMS E5。
- Microsoft Entra ID P2 ライセンス。
これらのライセンスをお持ちでない組織の場合は、少なくともすべての Microsoft 365 プランに含まれているセキュリティの既定値群を実装することをお勧めします。
注意事項
組織は、規制やその他のコンプライアンス要件の対象になることがあります。たとえば、ここに示されている推奨構成とは異なるポリシーの適用を必要とする特定の推奨事項などです。 このような構成の場合、従来は使用できなかった使用量制御が推奨されます。 Microsoft がこうした制御を推奨するのは、セキュリティと生産性が釣り合っていることを確信しているためです。
Microsoft は組織のさまざまな保護要件に対応するために最善を尽くしていますが、考え得るすべての要件や組織固有のすべての側面を考慮することはできません。
3 レベルの保護
ほとんどの組織に、セキュリティとデータ保護に関する特定の要件があります。 これらの要件は、業界や組織内の職務によって異なります。 たとえば、法務部門や管理者の場合は、メールのやり取りに関して、他の事業部門には必要のない高いレベルのセキュリティおよび情報保護管理が必要になることがあります。
各業界には、独自の専門的な諸規制もあります。 Microsoft が目指しているのは、考え得るすべてのセキュリティ オプションの一覧や、業種または職種ごとの推奨事項を提供することではありません。 そうではなく、お客様のニーズの細分性に基づいて、適用できる 3 レベルのセキュリティと保護に関する推奨事項を提供しています。
- 出発点: データだけでなく、データにアクセスする ID とデバイスを保護するための最低限の基準を確立し、使うことをすべてのお客様にお勧めします。 これらの推奨事項に従うことで、すべての組織の出発点として強力な既定の保護を提供できます。
- エンタープライズ: 一部のデータをより高いレベルで保護する必要があるお客様と、すべてのデータをより高いレベルで保護する必要があるお客様がいます。 強化された保護は、Microsoft 365 環境のすべてまたは特定のデータ セットに対して適用することができます。 機密データにアクセスする ID とデバイスを同等のセキュリティ レベルで保護することをお勧めします。
- 特殊なセキュリティ: 一部のお客様は、機密、営業秘密、または規制対象となる少量のデータを保有する必要があります。 Microsoft では、ID とデバイスに対する追加の保護を含め、このようなお客様がこれらの要件を満たすのに役立つ機能を提供しています。
このガイダンスでは、これらの保護レベルごとに ID とデバイスのゼロ トラスト保護を実装する方法を示します。 組織の最小値としてガイダンスを使い、組織固有の要件を満たすようにポリシーを調整します。
ID、デバイス、データ全体にわたって一貫したレベルの保護を使うことが重要です。 たとえば、優先アカウントを持つユーザー (役員、リーダー、マネージャーなど) の保護には、その ID、デバイス、アクセスするデータに対して同じレベルの保護を含める必要があります。
さらに、Microsoft 365 に保存されている情報を保護するには、データ プライバシーの規制に合わせた情報保護のデプロイ ソリューションの記事を参照してください。
セキュリティと生産性のトレードオフ
セキュリティ戦略を実装するには、セキュリティと生産性のトレードオフが必要です。 それぞれの決定がセキュリティ、機能、使いやすさのバランスにどのような影響を与えるかを評価することは有益です。
提供される推奨事項は、次の原則に基づいています。
- ユーザーを理解し、セキュリティと機能の要件に柔軟に対応する。
- セキュリティ ポリシーを適切なタイミングで適用し、セキュリティの意味があることを保証する。
ゼロ トラスト ID とデバイス アクセス保護のサービスと概念
Microsoft 365 for Enterprise は、大規模な組織の全員が創造性を発揮し、セキュリティで保護された方法で共同作業できるように設計されています。
このセクションでは、ゼロ トラスト ID とデバイス アクセスに重要な Microsoft 365 のサービスと機能の概要について説明します。
Microsoft Entra ID
Microsoft Entra ID には、必要な ID 管理機能がすべて備わっています。 アクセスをセキュリティで保護するには、これらの機能を使うことをお勧めします。
機能または特徴 | 説明 | ライセンス |
---|---|---|
多要素認証 (MFA) | MFA の場合、ユーザー パスワードと Microsoft Authenticator アプリまたは電話からの通知など、2 つの形式の検証をユーザーが提供する必要があります。 MFA を使うと、盗まれた資格情報が環境へのアクセスに使われるリスクを大幅に軽減できます。 Microsoft 365 は、MFA ベースのサインインに Microsoft Entra 多要素認証サービスを使います。 | Microsoft 365 E3 または E5 |
条件付きアクセス | Microsoft Entra ID は、ユーザーのサインイン条件を評価し、条件付きアクセス ポリシーを使って、許可されるアクセスを決定します。 たとえば、このガイダンスでは、機密データへのアクセスに対してデバイスのコンプライアンスを要求する条件付きアクセス ポリシーの作成方法について説明します。 これにより、ハッカーが自分のデバイスと盗んだ資格情報を使って機密データにアクセスするリスクを大幅に軽減できます。 デバイスは正常性とセキュリティに関する特定の要件を満たす必要があるため、デバイス上の機密データも保護されます。 | Microsoft 365 E3 または E5 |
Microsoft Entra グループ | 条件付きアクセス ポリシー、Intune によるデバイス管理、さらには組織内のファイルやサイトへのアクセス許可も、ユーザー アカウントまたは Microsoft Entra グループへの割り当てに依存しています。 実装している保護レベルに対応する Microsoft Entra グループを作成することをお勧めします。 たとえば、経営陣は、ハッカーにとって価値の高い標的になる可能性が高くなります。 そのため、これらの従業員のユーザー アカウントを Microsoft Entra グループに追加し、このグループを条件付きアクセス ポリシーや、より高いレベルのアクセス保護を適用するその他のポリシーに割り当てることは理にかなっています。 | Microsoft 365 E3 または E5 |
デバイスの登録 | デバイスを Microsoft Entra ID に登録して、デバイスの ID を作成します。 この ID は、ユーザーがサインインするときにデバイスを認証するとき、ドメイン参加済みの PC または準拠している PC を必要とする条件付きアクセス ポリシーを適用するときに使われます。 このガイダンスでは、デバイスの登録を使って、ドメイン参加済みの Windows コンピューターを自動的に登録します。 デバイスの登録は、Intune でデバイスを管理するための前提条件です。 | Microsoft 365 E3 または E5 |
Microsoft Entra ID Protection | これにより、組織の ID に影響する潜在的な脆弱性を検出し、サインイン リスクとユーザー リスクを低、中、高に指定するよう自動修復ポリシーを構成できます。 このガイダンスでは、このリスク評価に基づいて、多要素認証に条件付きアクセス ポリシーを適用します。 このガイダンスには、アカウントで高リスクのアクティビティが検出された場合にユーザーにパスワードの変更を要求する条件付きアクセス ポリシーも含まれています。 | Microsoft 365 E5、E5 Security アドオンを使う Microsoft 365 E3、EMS E5、または Microsoft Entra ID P2 ライセンス |
セルフサービス パスワード リセット (SSPR) | これにより、管理者が制御できる複数の認証方法の検証が提供され、ユーザーはヘルプデスクの介入なしにパスワードを安全にリセットできるようになります。 | Microsoft 365 E3 または E5 |
Microsoft Entra パスワード保護 | 既知の弱いパスワードとその亜種、組織に固有のその他の弱い用語を検出してブロックします。 既定のグローバル禁止パスワード リストは、Microsoft Entra テナントのすべてのユーザーに自動的に適用されます。 カスタム禁止パスワード リストに追加のエントリを定義できます。 ユーザーがパスワードを変更またはリセットすると、これらの禁止パスワード リストがチェックされ、強力なパスワードの使用が強制されます。 | Microsoft 365 E3 または E5 |
Intune と Microsoft Entra のオブジェクト、設定、サブサービスなど、ゼロ トラスト ID とデバイス アクセスのコンポーネントを次に示します。
Microsoft Intune
Intune は、Microsoft のクラウドベースのモバイル デバイス管理サービスです。 このガイダンスでは、Intune を使った Windows PC のデバイス管理をお勧めします。また、デバイス コンプライアンス ポリシーの構成をお勧めします。 Intune は、デバイスが準拠しているかどうかを判断し、このデータを Microsoft Entra ID に送信して、条件付きアクセス ポリシーを適用するときに使います。
Intune App Protection
Intune アプリ保護ポリシーは、デバイスが管理に登録されているかに関係なく、モバイル アプリ内の組織のデータを保護するために使用できます。 Intune は、情報を保護し、従業員の生産性を維持し、データ損失を防ぐのに役立ちます。 アプリレベルのポリシーを実装することで、会社リソースへのアクセスを制限し、IT 部門のコントロール内でデータを保持できます。
このガイダンスでは、承認されたアプリの使用を適用する推奨ポリシーを作成し、これらのアプリを実際のビジネス データでどのように使用できるかを決定する方法について説明します。
Microsoft 365
このガイダンスでは、Microsoft Teams、Exchange、SharePoint、OneDrive などの Microsoft 365 クラウド サービスへのアクセスを保護する一連のポリシーを実装する方法を示します。 これらのポリシーを実装することに加えて、次のリソースを使ってテナントの保護レベルを上げることをお勧めします。
Microsoft 365 Apps for Enterprise をインストールした Windows 11 または Windows 10
Microsoft 365 Apps for Enterprise をインストールした Windows 11 または Windows 10 は、PC に推奨されるクライアント環境です。 Windows 11 または Windows 10 をお勧めします。これは、Microsoft Entra がオンプレミスと Microsoft Entra ID の両方で可能な限りスムーズな SSO エクスペリエンスを提供するように設計されているためです。 Windows 11 または Windows 10 には、Intune を使って管理できる高度なセキュリティ機能も備えています。 Microsoft 365 Apps for Enterprise には、最新バージョンの Office アプリケーションが含まれています。 これらは、より安全であり、条件付きアクセスの要件である先進認証を使います。 これらのアプリは、強化されたコンプライアンスとセキュリティ ツールも備えています。
これらの機能を 3 レベルの保護に適用する
次の表は、3 レベルの保護全体にこれらの機能を使うための推奨事項をまとめたものです。
保護メカニズム | 開始ポイント | Enterprise | 特殊なセキュリティ |
---|---|---|---|
MFA を適用する | 中レベル以上のサインイン リスク | 低レベル以上のサインイン リスク | すべての新しいセッション |
パスワードの変更を適用する | リスクの高いユーザーの場合 | リスクの高いユーザーの場合 | リスクの高いユーザーの場合 |
Intune アプリケーション保護を適用する | はい | イエス | はい |
組織所有のデバイスに Intune 登録を適用する | 準拠している PC またはドメイン参加済みの PC を必須にしますが、BYOD (Bring Your Own Device) の電話とタブレットを許可します | 準拠しているデバイスまたはドメイン参加済みデバイスを必須にします | 準拠しているデバイスまたはドメイン参加済みデバイスを必須にします |
デバイスの所有権
上の表は、従業員全体のモバイル生産性を実現するために、多くの組織が組織所有のデバイスと個人用デバイスまたは BYOD の組み合わせをサポートする傾向を反映しています。 Intune のアプリ保護ポリシーは、組織所有のデバイスと BYOD の両方で Outlook モバイル アプリやその他の Office モバイル アプリから電子メール データが漏洩しないように保護します。
組織所有のデバイスは、追加の保護と制御を適用するために、Intune で管理するか、ドメインに参加させることをお勧めします。 データの機密性によっては、特定の数のユーザーまたは特定のアプリケーションについては BYOD を許可しないという選択もあり得ます。
デプロイとアプリ
Microsoft Entra 統合アプリのゼロ トラスト ID とデバイス アクセス構成を構成してロール アウトする前に、次のことを行う必要があります。
組織内で使われているアプリのうち、保護対象を決定します。
このアプリの一覧を分析して、適切なレベルの保護を提供するポリシー セットを決定します。
管理が煩雑になる可能性があるため、アプリごとに個別のポリシー セットを作成しないでください。 Microsoft は、同じユーザーに対して同じ保護要件を持つアプリをグループ化することをお勧めします。
たとえば、保護の出発点として、すべてのユーザーに対するすべての Microsoft 365 アプリを含むポリシーのセットを 1 つ用意します。 すべての機密性の高いアプリ (人事部門や財務部門が使うものなど) に対して 2 つ目のポリシー セットを作成し、それらのグループに適用します。
セキュリティで保護するアプリのポリシー セットを決定したら、段階的にポリシーをユーザーにロールアウトし、その過程で問題に対処します。 次に例を示します。
- すべての Microsoft 365 アプリに使うポリシーを構成します。
- 必要な変更を加えた Exchange のみを追加し、ポリシーをユーザーにロールアウトして、問題があれば対処します。
- 必要な変更を加えた Teams を追加し、ポリシーをユーザーにロールアウトして、問題があれば対処します。
- 必要な変更を加えた SharePoint を追加し、ポリシーをユーザーにロールアウトして、問題があれば対処します。
- すべての Microsoft 365 アプリを含めるようにこれらの出発点のポリシーを自信を持って構成できるようになるまで、残りのアプリの追加を続けます。
同様に、機密性の高いアプリの場合は、ポリシー セットを作成し、一度に 1 つのアプリを追加します。 問題があれば対処し、それらが機密性の高いアプリ ポリシー セットに含まれるようにします。
意図しない構成になる可能性があるため、Microsoft は、すべてのアプリに適用されるポリシー セットを作成しないことをお勧めします。 たとえば、すべてのアプリをブロックするポリシーがあると、管理者が Microsoft Entra 管理センターから締め出される可能性があり、Microsoft Graph などの重要なエンドポイントに対して除外を構成できなくなります。
ゼロ トラスト ID とデバイス アクセスを構成する手順
- 前提条件となる ID 機能とその設定を構成します。
- 共通の ID を構成し、条件付きアクセス ポリシーにアクセスします。
- ゲストおよび外部ユーザーの条件付きアクセス ポリシーを構成します。
- Microsoft 365 クラウド アプリ (Microsoft Teams、Exchange、SharePoint など) の条件付きアクセス ポリシーと、Microsoft Defender for Cloud Apps ポリシーを構成します。
ゼロ トラスト ID とデバイス アクセスを構成したら、Microsoft Entra 機能デプロイ ガイドの検討すべき追加機能のフェーズ別チェックリストと、アクセスを保護、監視、監査するための Microsoft Entra ID ガバナンスの記事を参照してください。