ゼロ トラスト ID とデバイス アクセス ポリシーを実装するための前提条件の作業
この記事では、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを使用し、条件付きアクセスを使用するために管理者が満たす必要がある前提条件について説明します。 また、最適なシングル サインオン (SSO) エクスペリエンスのためにクライアント プラットフォームを構成するための推奨される既定値についても説明します。
前提条件
推奨されるゼロ トラスト ID ポリシーとデバイス アクセス ポリシーを使用する前に、organizationが前提条件を満たす必要があります。 要件は、一覧表示されているさまざまな ID と認証モデルで異なります。
- クラウド専用
- パスワード ハッシュ同期 (PHS) 認証を使用したハイブリッド
- パススルー認証を使用したハイブリッド (PTA)
- フェデレーション
次の表では、前提条件の機能と、記載されている場合を除くすべての ID モデルに適用される構成について詳しくは、こちらをご覧ください。
構成 | 例外 | ライセンス |
---|---|---|
PHS を構成します。 この機能は、漏洩した資格情報を検出し、リスクベースの条件付きアクセスに対応するために有効にする必要があります。 メモ:これは、organizationがフェデレーション認証を使用するかどうかに関係なく必要です。 | クラウド専用 | Microsoft 365 E3 または E5 |
シームレス シングル サインオンを有効にすると、ユーザーがorganization ネットワークに接続されているorganization デバイス上にユーザーが自動的にサインインします。 | クラウド専用とフェデレーション | Microsoft 365 E3 または E5 |
名前付き場所を構成します。 Microsoft Entra ID 保護は、使用可能なすべてのセッション データを収集して分析し、リスク スコアを生成します。 Microsoft Entra IDの名前付き場所構成で、ネットワークのorganizationのパブリック IP 範囲を指定することをお勧めします。 これらの範囲からのトラフィックにはリスク スコアが低下し、organization環境外からのトラフィックにはリスク スコアが高くなります。 | Microsoft 365 E3 または E5 | |
セルフサービス パスワード リセット (SSPR) と多要素認証 (MFA) のすべてのユーザーを登録します。 多要素認証を事前にMicrosoft Entraするためにユーザーを登録することをお勧めします。 Microsoft Entra ID 保護では、Microsoft Entra多要素認証を使用して追加のセキュリティ検証を実行します。 さらに、最適なサインイン エクスペリエンスを得るには、ユーザーがデバイスに Microsoft Authenticator アプリと Microsoft ポータル サイト アプリをインストールすることをお勧めします。 これらは、プラットフォームごとにアプリ ストアからインストールできます。 | Microsoft 365 E3 または E5 | |
Microsoft Entraハイブリッド結合の実装を計画します。 条件付きアクセスでは、アプリに接続するデバイスがドメインに参加しているか、準拠していることを確認します。 Windows コンピューターでこれをサポートするには、デバイスをMicrosoft Entra IDに登録する必要があります。 この記事では、自動デバイス登録を構成する方法について説明します。 | クラウド専用 | Microsoft 365 E3 または E5 |
サポート チームを用意します。 MFA を完了できないユーザーのための計画を立てます。 これは、ポリシー除外グループに追加したり、新しい MFA 情報を登録したりする可能性があります。 これらのセキュリティに依存する変更のいずれかを行う前に、実際のユーザーが要求を行っていることを確認する必要があります。 同意を支援するようにユーザーの上司に依頼する方法も効果的です。 | Microsoft 365 E3 または E5 | |
オンプレミス AD へのパスワード ライトバックを構成します。 パスワード ライトバックを使用すると、Microsoft Entra IDは、リスクの高いアカウントの侵害が検出されたときに、ユーザーがオンプレミスのパスワードを変更することを要求できます。 この機能は、Microsoft Entra Connect のセットアップのオプション機能画面でパスワード ライトバックを有効にする方法と、Windows PowerShellを使用して有効Microsoft Entraのいずれかの方法で有効にすることができます。 | クラウド専用 | Microsoft 365 E3 または E5 |
パスワード保護Microsoft Entra構成します。 Microsoft Entraパスワード保護は、既知の脆弱なパスワードとそのバリエーションを検出してブロックし、organizationに固有の追加の脆弱な用語をブロックすることもできます。 既定のグローバル禁止パスワード リストは、Microsoft Entra テナント内のすべてのユーザーに自動的に適用されます。 カスタムの禁止パスワード リストに追加のエントリを定義できます。 ユーザーがパスワードを変更またはリセットすると、これらの禁止パスワード リストがチェックされ、強力なパスワードの使用が強制されます。 | Microsoft 365 E3 または E5 | |
Microsoft Entra ID 保護を有効にします。 Microsoft Entra ID 保護を使用すると、organizationの ID に影響を与える可能性のある脆弱性を検出し、低、中、高のサインイン リスクとユーザー リスクに対して自動修復ポリシーを構成できます。 | E5 セキュリティ アドオンを使用したMicrosoft 365 E5またはMicrosoft 365 E3 | |
Exchange Online と Skype for BusinessOnline の先進認証を有効にします。 先進認証は、MFA を使用するための前提条件です。 Office 2016 および 2019 クライアント、SharePoint、OneDrive for Businessでは、既定で先進認証が有効になっています。 | Microsoft 365 E3 または E5 | |
Microsoft Entra IDの継続的なアクセス評価を有効にします。 継続的なアクセス評価により、アクティブなユーザー セッションが事前に終了され、ほぼリアルタイムでテナント ポリシーの変更が適用されます。 | Microsoft 365 E3 または E5 |
推奨されるクライアント構成
このセクションでは、ユーザーに最適な SSO エクスペリエンスを提供することをお勧めする既定のプラットフォーム クライアント構成と、条件付きアクセスの技術的な前提条件について説明します。
Windows デバイス
Azure はオンプレミスとMicrosoft Entra IDの両方で可能な限りスムーズな SSO エクスペリエンスを提供するように設計されているため、Windows 11またはWindows 10 (バージョン 2004 以降) をお勧めします。 職場または学校が発行したデバイスは、Microsoft Entra IDに直接参加するように構成する必要があります。または、organizationでオンプレミスの AD ドメイン参加が使用されている場合は、それらのデバイスを自動的にサイレントでMicrosoft Entra IDに登録するように構成する必要があります。
BYOD Windows デバイスの場合、ユーザーは [職場または学校アカウントの追加] を使用できます。 Windows 11またはWindows 10デバイスの Google Chrome ブラウザーのユーザーは、Microsoft Edge ユーザーと同じスムーズなサインイン エクスペリエンスを得るために拡張機能をインストールする必要があることに注意してください。 また、organizationにドメインに参加しているWindows 8または 8.1 デバイスがある場合は、Windows 10以外のコンピューター用に Microsoft Workplace Join をインストールできます。 パッケージをダウンロードして、デバイスをMicrosoft Entra IDに登録します。
iOS デバイス
条件付きアクセスまたは MFA ポリシーをデプロイする前に、ユーザー デバイスに Microsoft Authenticator アプリ をインストールすることをお勧めします。 少なくとも、ユーザーが職場または学校アカウントを追加してデバイスをMicrosoft Entra IDに登録するように求められた場合、または Intune ポータル サイト アプリをインストールしてデバイスを管理に登録するときに、アプリをインストールする必要があります。 これは、構成されている条件付きアクセス ポリシーによって異なります。
Android デバイス
ユーザーは、条件付きアクセス ポリシーが展開される前、または特定の認証試行中に必要な場合に、Intune ポータル サイトアプリと Microsoft Authenticator アプリをインストールすることをお勧めします。 アプリのインストール後、ユーザーはMicrosoft Entra IDに登録するか、デバイスをIntuneに登録するように求められる場合があります。 これは、構成されている条件付きアクセス ポリシーによって異なります。
また、organization所有デバイスは、Android for Work または Samsung Knox をサポートする OEM およびバージョンで標準化し、メール アカウントを許可し、Intune MDM ポリシーによって管理および保護することをお勧めします。
推奨される電子メール クライアント
次の電子メール クライアントは、先進認証と条件付きアクセスをサポートしています。
プラットフォーム | クライアント | バージョン/注 |
---|---|---|
Windows | Outlook | 2019, 2016 |
iOS | Outlook for iOS | 最新 |
Android | Outlook for Android | 最新 |
macOS | Outlook | 2019 年と 2016 年 |
Linux | 非サポート |
ドキュメントをセキュリティで保護するときに推奨されるクライアント プラットフォーム
セキュリティで保護されたドキュメント ポリシーが適用されている場合は、次のクライアントをお勧めします。
プラットフォーム | Word/Excel/PowerPoint | OneNote | OneDrive アプリ | SharePoint アプリ | OneDrive 同期クライアント |
---|---|---|---|---|---|
Windows 11またはWindows 10 | サポート | サポート | N/A | 該当なし | サポート |
Windows 8.1 | サポート | サポート | N/A | 該当なし | サポート |
Android | サポート | サポート | サポート | サポート | N/A |
iOS | サポート | サポートされている | サポート | サポート | N/A |
macOS | サポート | サポート | N/A | N/A | サポートされていません |
Linux | サポートされていません | 非サポート | 非サポート | 非サポート | 非サポート |
Microsoft 365 のクライアント サポート
Microsoft 365 でのクライアント サポートの詳細については、次の記事を参照してください。
管理者アカウントの保護
Microsoft 365 E3または E5 の場合、または個別のMicrosoft Entra ID P1 または P2 ライセンスの場合は、手動で作成された条件付きアクセス ポリシーを使用して管理者アカウントに MFA を要求できます。 詳細については、「 条件付きアクセス: 管理者に MFA を要求する 」を参照してください。
条件付きアクセスをサポートしていない Microsoft 365 またはOffice 365のエディションでは、セキュリティの既定値を有効にして、すべてのアカウントに MFA を要求できます。
その他の推奨事項を次に示します。
- 永続的な管理アカウントの数を減らすには、Microsoft Entra Privileged Identity Managementを使用します。
- 特権アクセス管理を使用して、機密データへの永続的なアクセスまたは重要な構成設定へのアクセスを持つ既存の特権管理者アカウントを使用する可能性がある侵害からorganizationを保護します。
- Create、管理にのみ Microsoft 365 管理者ロールが割り当てられている個別のアカウントを使用します。 管理者は、通常の管理以外の使用のために独自のユーザー アカウントを持ち、必要な場合にのみ管理者アカウントを使用して、自分の役割またはジョブ機能に関連付けられているタスクを完了する必要があります。
- Microsoft Entra IDの特権アカウントをセキュリティで保護するためのベスト プラクティスに従ってください。
次の手順
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示