ゼロ トラスト ID とデバイスのアクセス構成

今日の従業員は、従来の企業ネットワークの境界を超えて存在するアプリケーションとリソースにアクセスする必要があります。 ネットワーク ファイアウォールと仮想プライベート ネットワーク (VPN) を使用してリソースへのアクセスを分離および制限するセキュリティ アーキテクチャでは、十分ではなくなりました。

この新しいコンピューティングの世界に対処するために、Microsoft では、次の指針に基づく ゼロ トラスト セキュリティ モデルを強くお勧めします。

  • 明示的に確認する: 常に、使用可能なすべてのデータ ポイントに基づいて認証と承認を行います。 この検証では、ゼロ トラスト ID とデバイス のアクセス ポリシーは、サインインと継続的な検証に不可欠です。
  • 最小特権アクセスを使用する: Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用してユーザー アクセスを制限します。
  • 違反を想定する: ブラスト半径とセグメント アクセスを最小限に抑えます。 エンドツーエンドの暗号化を確認し、分析を使用して可視性を高め、脅威検出を推進し、防御を強化します。

ゼロ トラストの全体的なアーキテクチャを次に示します。

Microsoft ゼロ トラスト アーキテクチャを示す図。

ゼロ トラスト ID とデバイスのアクセス ポリシーは、次の明示的な指針を検証する原則に対処します。

  • ID: ID がリソースにアクセスしようとするとき、強力な認証を持つ ID を確認し、要求されたアクセスが準拠していて一般的であることを確認します。
  • デバイス (エンドポイントとも呼ばれます): セキュリティで保護されたアクセスに対するデバイスの正常性とコンプライアンスの要件を監視して適用します。
  • アプリケーション: コントロールとテクノロジを次の対象に適用します。
    • アプリ内の適切なアクセス許可を確認します。
    • リアルタイム分析に基づいてアクセスを制御します。
    • 異常な動作を監視する
    • ユーザーによる処理を制御します。
    • 安全な構成オプションを検証します。

この一連の記事では、Azure Active Directory (Azure AD) 条件付きアクセス、Microsoft Intune、その他の機能を使用した ID とデバイスのアクセス構成とポリシーのセットについて説明します。 これらの構成とポリシーにより、エンタープライズ クラウド アプリとサービス、その他の SaaS サービス、および Azure AD アプリケーション プロキシで発行されたオンプレミス アプリケーション用の Microsoft 365 へのゼロ トラストアクセスが提供されます。

ゼロ トラスト ID とデバイス アクセスの設定とポリシーは、次の 3 つのレベルで推奨されます。

  • 出発点。
  • エンタープライズ。
  • 高度に規制または分類されたデータを持つ環境に特化したセキュリティ。

これらの層とそれに対応する構成は、データ、ID、デバイス全体で一貫したレベルのゼロ トラスト保護を提供します。 これらの機能とその推奨事項:

organizationに固有の要件や複雑さがある場合は、これらの推奨事項を出発点として使用します。 ただし、ほとんどの組織は、規定に従ってこれらの推奨事項を実装できます。

Microsoft 365 for enterprise の ID とデバイス アクセス構成の概要については、このビデオをご覧ください。

注:

Microsoft では、Office 365 サブスクリプションのEnterprise Mobility + Security (EMS) ライセンスも販売しています。 EMS E3 と EMS E5 の機能は、Microsoft 365 E3およびMicrosoft 365 E5の機能と同等です。 詳細については、「 EMS プラン」を参照してください。

対象ユーザー

これらの推奨事項は、Microsoft 365 クラウドの生産性とセキュリティ サービスに精通しているエンタープライズ アーキテクトと IT プロフェッショナルを対象としています。 これらのサービスには、Microsoft Entra ID (ID)、Microsoft Intune (デバイス管理)、Microsoft Purview 情報保護 (データ保護) が含まれます。

顧客環境

推奨されるポリシーは、Microsoft クラウド内で完全に運用されているエンタープライズ組織と、ハイブリッド ID インフラストラクチャをお持ちのお客様に適用されます。 ハイブリッド ID 構造体は、Microsoft Entra IDと同期されるオンプレミスの Active Directory フォレストです。

推奨事項の多くは、次のライセンスでのみ使用できるサービスに依存しています。

  • Microsoft 365 E5。
  • E5 セキュリティ アドオンを使用してMicrosoft 365 E3します。
  • EMS E5。
  • P2 ライセンスをMicrosoft Entra IDします。

これらのライセンスを持っていない組織の場合は、少なくともセキュリティ の既定値 (すべての Microsoft 365 プランに含まれる) を実装することをお勧めします。

警告

organizationは、規制やその他のコンプライアンス要件の対象となる場合があります。これには、これらの推奨構成とは異なるポリシーを適用する必要がある特定の推奨事項が含まれます。 これらの構成では、これまで使用できない使用制御が推奨されます。 これらのコントロールは、セキュリティと生産性のバランスを表していると考えているので、お勧めします。

さまざまな組織の保護要件を考慮するために最善を尽くしましたが、可能なすべての要件や、organizationのすべての固有の側面を考慮することはできません。

3 つのレベルの保護

ほとんどの組織は、セキュリティとデータ保護に関して固有の要件を用意しています。 そのような要件は業種によって、また、組織内の職務によって変わります。 たとえば、法務部門と管理者は、他の部署では必要のない電子メールの対応に関する追加のセキュリティと情報保護の制御を必要とする場合があります。

また、あらゆる業種が独自の特別な規制を用意しています。 すべての可能なセキュリティ オプションの一覧や、業界セグメントまたはジョブ関数ごとの推奨事項を提供しようとはしていません。 代わりに、ニーズの細分性に基づいて適用できる 3 つのレベルのセキュリティと保護に関する推奨事項を提供しています。

  • 開始点: すべての顧客が、データを保護するための最低限の標準と、データにアクセスする ID とデバイスを確立して使用することをお勧めします。 これらの推奨事項に従って、すべての組織の出発点として強力な既定の保護を提供できます。
  • エンタープライズ: 一部のお客様は、より高いレベルで保護する必要があるデータのサブセットを持っているか、すべてのデータをより高いレベルで保護する必要があります。 Microsoft 365 環境のすべてのデータ セットまたは特定のデータ セットに保護を強化できます。 機密データにアクセスする ID とデバイスはそれに相応しいレベルのセキュリティで保護することを推奨します。
  • 特殊なセキュリティ: 必要に応じて、高度に分類され、企業秘密を構成する、または規制されている少量のデータを持っているお客様が少ない場合があります。 Microsoft は、ID とデバイスの保護の追加など、これらの要件を満たすお客様を支援する機能を提供します。

セキュリティ コーン

このガイダンスでは、これらの保護レベルごとに ID とデバイスのゼロ トラスト保護を実装する方法について説明します。 このガイダンスは、organizationの最小値として使用し、organizationの特定の要件を満たすようにポリシーを調整します。

ID、デバイス、データ全体で一貫したレベルの保護を使用することが重要です。 たとえば、エグゼクティブ、リーダー、マネージャーなどの優先アカウントを持つユーザーの保護には、ID、デバイス、アクセスするデータに対して同じレベルの保護を含める必要があります。

さらに、Microsoft 365 に格納されている情報を保護するための データプライバシー規制ソリューション の情報保護の展開に関するページを参照してください。

セキュリティと生産性の折り合い

セキュリティ戦略を実装するには、セキュリティと生産性のトレードオフが必要です。 各決定がセキュリティ、機能、使いやすさのバランスにどのように影響するかを評価すると役立ちます。

セキュリティトライアドバランスのセキュリティ、機能、使いやすさ

提供される推奨事項は、次の原則に基づいています。

  • ユーザーを把握し、セキュリティと機能の要件に柔軟に対応します。
  • セキュリティ ポリシーを時間内に適用し、意味があることを確認します。

ゼロ トラスト ID とデバイス アクセス保護のサービスと概念

Microsoft 365 for enterprise は、全員がクリエイティブで安全に共同作業できるように、大規模な組織向けに設計されています。

このセクションでは、ゼロ トラスト ID とデバイスアクセスに重要な Microsoft 365 サービスと機能の概要について説明します。

Microsoft Entra ID

Microsoft Entra IDは、ID 管理機能の完全なスイートを提供します。 これらの機能を使用してアクセスをセキュリティで保護することをお勧めします。

機能 説明 ライセンス
多要素認証 (MFA) MFA では、ユーザー パスワードと Microsoft Authenticator アプリからの通知や電話などの 2 つの形式の検証をユーザーが提供する必要があります。 MFA を使用すると、資格情報を盗んで環境にアクセスできるリスクが大幅に軽減されます。 Microsoft 365 では、MFA ベースのサインインにMicrosoft Entra多要素認証サービスを使用します。 Microsoft 365 E3 または E5
条件付きアクセス Microsoft Entra IDは、ユーザー サインインの条件を評価し、条件付きアクセス ポリシーを使用して許可されるアクセスを決定します。 たとえば、このガイダンスでは、機密データへのアクセスにデバイスコンプライアンスを要求する条件付きアクセス ポリシーを作成する方法について説明します。 これにより、独自のデバイスと盗まれた資格情報を持つハッカーが機密データにアクセスするリスクが大幅に軽減されます。 また、デバイスは正常性とセキュリティの特定の要件を満たす必要があるため、デバイス上の機密データも保護します。 Microsoft 365 E3 または E5
Microsoft Entra グループ 条件付きアクセス ポリシー、Intune を使用したデバイス管理、さらにはorganization内のファイルやサイトへのアクセス許可は、ユーザー アカウントまたはMicrosoft Entra グループへの割り当てに依存します。 実装する保護レベルに対応するMicrosoft Entra グループを作成することをお勧めします。 たとえば、エグゼクティブ スタッフはハッカーの価値の高いターゲットである可能性が高くなります。 そのため、これらの従業員のユーザー アカウントをMicrosoft Entra グループに追加し、アクセスに対してより高いレベルの保護を適用する条件付きアクセス ポリシーやその他のポリシーにこのグループを割り当てることが理にかなっています。 Microsoft 365 E3 または E5
デバイスの登録 デバイスを Microsoft Entra ID に登録して、デバイスの ID を作成します。 この ID は、ユーザーがサインインするときにデバイスを認証し、ドメイン参加または準拠している PC を必要とする条件付きアクセス ポリシーを適用するために使用されます。 このガイダンスでは、デバイス登録を使用して、ドメインに参加している Windows コンピューターを自動的に登録します。 デバイス登録は、Intune でデバイスを管理するための前提条件です。 Microsoft 365 E3 または E5
Microsoft Entra ID 保護 organizationの ID に影響を与える可能性のある脆弱性を検出し、低、中、高のサインイン リスクとユーザー リスクに対して自動修復ポリシーを構成できます。 このガイダンスは、このリスク評価に依存して、多要素認証に条件付きアクセス ポリシーを適用します。 このガイダンスには、アカウントに対してリスクの高いアクティビティが検出された場合にユーザーがパスワードを変更することを要求する条件付きアクセス ポリシーも含まれています。 Microsoft 365 E5、E5 セキュリティ アドオン、EMS E5、または Microsoft Entra ID P2 ライセンスを使用したMicrosoft 365 E3
セルフサービス パスワード リセット (SSPR) 管理者が制御できる複数の認証方法の検証を提供することで、ユーザーがヘルプ デスクの介入なしで安全にパスワードをリセットできるようにします。 Microsoft 365 E3 または E5
パスワード保護のMicrosoft Entra 既知の脆弱なパスワードとそのバリエーション、およびorganizationに固有の弱い用語を検出してブロックします。 既定のグローバル禁止パスワード リストは、Microsoft Entra テナント内のすべてのユーザーに自動的に適用されます。 カスタムの禁止パスワード リストに追加のエントリを定義できます。 ユーザーがパスワードを変更またはリセットすると、これらの禁止パスワード リストがチェックされ、強力なパスワードの使用が強制されます。 Microsoft 365 E3 または E5

Intune、Microsoft Entra オブジェクト、設定、サブサービスなど、ゼロ トラスト ID とデバイス アクセスのコンポーネントを次に示します。

ゼロ トラスト ID とデバイス アクセスのコンポーネント

Microsoft Intune

Intune は、Microsoft のクラウドベースのモバイル デバイス管理サービスです。 このガイダンスでは、Intune を使用した Windows PC のデバイス管理を推奨し、デバイス コンプライアンス ポリシーの構成を推奨します。 Intune では、デバイスが準拠しているかどうかを判断し、条件付きアクセス ポリシーを適用するときに使用するMicrosoft Entra IDにこのデータを送信します。

Intune アプリ保護

Intune アプリ保護ポリシーは、デバイスを管理に登録するかどうかにかかわらず、モバイル アプリでorganizationのデータを保護するために使用できます。 Intune は、情報を保護し、従業員の生産性を維持し、データの損失を防ぐのに役立ちます。 アプリ レベルのポリシーを実装することで、会社のリソースへのアクセスを制限し、IT 部門の管理下にデータを保持できます。

このガイダンスでは、承認されたアプリの使用を強制し、ビジネス データでこれらのアプリを使用する方法を決定するための推奨ポリシーを作成する方法について説明します。

Microsoft 365

このガイダンスでは、Microsoft Teams、Exchange、SharePoint、OneDrive などの Microsoft 365 クラウド サービスへのアクセスを保護するための一連のポリシーを実装する方法について説明します。 これらのポリシーの実装に加えて、次のリソースを使用してテナントの保護レベルを上げることをお勧めします。

Microsoft 365 Apps for enterpriseを使用したWindows 11またはWindows 10

Microsoft 365 Apps for enterpriseを使用したWindows 11またはWindows 10は、PC に推奨されるクライアント環境です。 Azure はオンプレミスとMicrosoft Entra IDの両方で可能な限りスムーズなエクスペリエンスを提供するように設計されているため、Windows 11またはWindows 10することをお勧めします。 Windows 11またはWindows 10には、Intune で管理できる高度なセキュリティ機能も含まれています。 Microsoft 365 Apps for enterpriseには、最新バージョンの Office アプリケーションが含まれています。 これらは、より安全で条件付きアクセスの要件である最新の認証を使用します。 これらのアプリには、強化されたコンプライアンスとセキュリティ ツールも含まれています。

これらの機能を 3 つのレベルの保護に適用する

次の表は、3 つのレベルの保護でこれらの機能を使用するための推奨事項をまとめたものです。

保護メカニズム 開始点 Enterprise 特殊なセキュリティ
MFA の強制 中程度以上のサインイン リスクで 低以上のサインイン リスクで すべての新しいセッションで
パスワードの変更を強制する リスクの高いユーザー向け リスクの高いユーザー向け リスクの高いユーザー向け
Intune アプリケーション保護を適用する はい はい はい
organization所有デバイスに Intune 登録を適用する 準拠している PC またはドメインに参加している PC が必要ですが、持ち込みデバイス (BYOD) の電話とタブレットを許可する 準拠しているデバイスまたはドメインに参加しているデバイスを要求する 準拠しているデバイスまたはドメインに参加しているデバイスを要求する

デバイスの所有権

上の表は、多くの組織が、organization所有デバイスの組み合わせをサポートし、従業員全体のモバイル生産性を実現するための個人用または BYOD の傾向を示しています。 Intune アプリ保護ポリシーにより、organization所有デバイスと BYOD の両方で、Outlook モバイル アプリやその他の Office モバイル アプリからメールが流出しないように保護されます。

organization所有デバイスは、追加の保護と制御を適用するために、Intune またはドメイン参加によって管理することをお勧めします。 データの機密性によっては、organizationが特定のユーザー集団または特定のアプリに対して BYOD を許可しないことを選択する場合があります。

デプロイとアプリ

Microsoft Entra統合アプリゼロ トラスト ID とデバイス アクセスの構成を構成してロールアウトする前に、次の手順を実行する必要があります。

  • 保護するorganizationで使用するアプリを決定します。

  • このアプリの一覧を分析して、適切なレベルの保護を提供するポリシーのセットを決定します。

    アプリの管理が煩雑になる可能性があるため、アプリごとに個別のポリシー セットを作成しないでください。 Microsoft では、同じユーザーに対して同じ保護要件を持つアプリをグループ化することをお勧めします。

    たとえば、すべてのユーザーが開始点から保護できるように、すべての Microsoft 365 アプリを含むポリシーのセットを 1 つ用意します。 人事や財務部門で使用されるなど、すべての機密性の高いアプリに対して 2 番目のポリシー セットを用意し、それらのグループに適用します。

セキュリティで保護するアプリのポリシーセットを決定したら、ポリシーをユーザーに段階的にロールアウトし、途中で問題に対処します。 例:

  1. すべての Microsoft 365 アプリで使用するポリシーを構成します。
  2. 必要な変更を含む Exchange のみを追加し、ポリシーをユーザーにロールアウトし、問題を解決します。
  3. 必要な変更を加えた Teams を追加し、ポリシーをユーザーにロールアウトし、問題に対処します。
  4. 必要な変更を含む SharePoint を追加し、ポリシーをユーザーにロールアウトし、問題を解決します。
  5. すべての Microsoft 365 アプリを含むようにこれらの開始点ポリシーを確実に構成できるようになるまで、残りのアプリを追加し続けます。

同様に、機密性の高いアプリの場合は、ポリシーのセットを作成し、一度に 1 つのアプリを追加します。 すべての問題が機密性の高いアプリ ポリシー セットに含まれるまで作業します。

意図しない構成が発生する可能性があるため、すべてのアプリに適用されるポリシー セットを作成しないことをお勧めします。 たとえば、すべてのアプリをブロックするポリシーは、管理者をAzure portalからロックし、除外を Microsoft Graph などの重要なエンドポイント用に構成することはできません。

ゼロ トラスト ID とデバイス アクセスを構成する手順

ゼロ トラスト ID とデバイス アクセスを構成する手順

  1. 前提条件の ID 機能とその設定を構成します。
  2. 共通 ID を構成し、条件付きアクセス ポリシーにアクセスします。
  3. ゲストユーザーと外部ユーザーの条件付きアクセス ポリシーを構成します。
  4. Microsoft Teams、Exchange、SharePoint などの Microsoft 365 クラウド アプリの条件付きアクセス ポリシーとMicrosoft Defender for Cloud Apps ポリシーを構成します。

ID とデバイス アクセスゼロ トラスト構成した後は、Microsoft Entra機能の展開ガイドを参照して、アクセスを保護、監視、監査するために考慮し、Microsoft Entra ID ガバナンスする追加機能の段階的なチェックリストを確認してください。

次の手順

ゼロ トラスト ID とデバイス アクセス ポリシーを実装するための前提条件の作業