DoD ゼロ トラスト戦略とロードマップでは、国防総省コンポーネントと国防産業基盤 (DIB) パートナーによる、ゼロ トラストの原則に基づいた新しいサイバーセキュリティ フレームワーク採用の概観を示しています。 ゼロ トラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト機能遂行ロードマップでの、152 種のゼロ トラスト アクティビティに関する推奨事項が記載されています。 各セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応します。
ガイドの各セクションに移動するには次のリンクを使用してください。
1 ユーザー
このセクションでは、ユーザーの柱においての、DoD ゼロ トラスト アクティビティに関する、Microsoft のガイダンスと推奨事項について説明します。 詳細については、「ゼロ トラストによる ID のセキュリティ保護」をご覧ください。
1.1 ユーザー インベントリ
Microsoft Entra ID は、Microsoft クラウド サービスに必要な ID プラットフォームです。 Microsoft Entra ID は、マルチクラウド ID とハイブリッド ID をサポートする ID プロバイダー (IdP) およびガバナンス プラットフォームです。 Microsoft Entra ID を使用して、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、Oracle Cloud Infrastructure (OCI) などの Microsoft 以外のクラウドへのアクセスを管理できます。 Microsoft Entra ID は標準の ID プロトコルを使用するため、サービスとしてのソフトウェア (SaaS)、最新の Web アプリケーション、デスクトップおよびモバイル アプリ、従来のオンプレミス アプリケーションにも適した IdP になります。
Microsoft Entra ID を使用して、ユーザーと非個人エンティティ (NPE) を確認し、アプリとデータへのアクセスを継続的に承認し、最小特権の原則に従って ID とそのエンタイトルメントを管理し、Just-In-Time (JIT) 管理を実行します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.1.1 インベントリ ユーザーDoD 組織は、必要に応じてユーザー インベントリの手動による確立および更新を行ない、後の段階での自動化されたアプローチに備えます。 IdP/ICAM によって一元管理され、なおかつシステム上でローカルに管理されるアカウントが識別され、インベントリされます。 今後の監査のために特権アカウントが特定されます。また、将来の移行や使用停止のために、アプリケーションとシステムにローカルな標準ユーザー アカウントと特権ユーザー アカウントの両方が識別されます。 結果: - マネージド通常ユーザーの識別 - マネージド特権ユーザーの識別 - 管理者アカウントと管理者以外のアカウントに対して独自のユーザー アカウント管理を使用したアプリケーションの識別 |
Microsoft Entra ID Microsoft Entra 管理センターまたは Microsoft Graph API を使用して、組織内の通常ユーザーと特権ユーザーを識別します。 ユーザー アクティビティは、Microsoft Entra ID サインインと監査ログにキャプチャされます。監査ログは、Microsoft Sentinel などのセキュリティ情報イベント監視 (SIEM) システムと統合できます。 - Microsoft Entra ID の導入 - Microsoft Graph API: ユーザーを一覧表示する - Microsoft Entra のアクティビティ ログ統合 Microsoft Entra と Azure ロール 特権ユーザーは、Microsoft Entra ID ロール、Azure ロール、Microsoft Entra ID セキュリティ グループに割り当てられており、Microsoft 365 やその他のアプリケーションへの特権アクセスを付与する ID です。 特権アクセスにはクラウド専用ユーザーを使うことをお勧めします。 - 組み込みロール Microsoft Defender for Cloud Apps Defender for Cloud Apps を使って、独自の ID ストアを使う未承認アプリを検出します。 - シャドウ IT の検出と管理 Microsoft Defender for Identity Microsoft Defender for Identity のセンサーを配置して構成することで、オンプレミスの Active Directory Domain Services 環境用の ID 資産インベントリを構築します。 - Microsoft Defender for Identity の概要 - Microsoft Defender for Identity の展開 - 資産を調査する |
1.2 条件付きユーザー アクセス
Microsoft Entra ID は、組織が動的な条件付きユーザー アクセスを実装するのに役立ちます。 この機能をサポートする機能には、Microsoft Entra 条件付きアクセス、Azure Active Directory Identity Governance、カスタム ロール、動的セキュリティ グループ、アプリ ロール、カスタム セキュリティ属性などがあります。
条件付きアクセスは、Microsoft Entra ID のリアルタイム ゼロ トラスト ポリシー エンジンです。 条件付きアクセス ポリシーは、ユーザー、デバイス、アプリケーション、セッション、リスクなどのセキュリティ シグナルを使用して、Microsoft Entra ID によって保護されたリソースに適応型の動的認可を適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.2.1 アプリ ベースのアクセス許可をエンタープライズごとに実装する組織と連携する DoD エンタープライズは、認証と認可のためにユーザー属性の基本セットを確立します。 これらは、完全なエンタープライズ基準のために "エンタープライズ ID ライフサイクル管理パート 1" アクティビティ プロセスと統合されています。 エンタープライズ ID、資格情報、アクセス管理 (ICAM) ソリューションは、ソリューション内で属性を追加または更新するためのセルフサービス機能に対応しています。 残りの Privileged Access Management (PAM) アクティビティは、PAM ソリューションに完全に移行されます。 結果: - アプリケーション機能/データへのユーザー承認に必要なエンタープライズ ロール/属性が、エンタープライズ ICAMに登録される - DoD エンタープライズ ICAM に、アプリケーション所有者が属性を追加したり、既存のエンタープライズ属性を使用したりできるようにするセルフサービスの属性/ロール登録サービスが加わる - 特権アクティビティが PAM に完全に移行される |
Microsoft Entra Connect Microsoft Entra Connect とのハイブリッド ID を確立して、Microsoft Entra ID テナントに現在のディレクトリ システムからユーザー属性を設定します。 - Microsoft Entra Connect Microsoft Entra アプリケーション アプリケーションを Microsoft Entra ID と統合します。 セキュリティ グループとアプリ ロールを使用して、アプリケーションの認可とアクセス許可のモデルを設計します。 アプリの管理を委任するには、アプリの構成を管理する所有者を割り当て、アプリ ロールの登録と割り当ても行います。 - アプリを Microsoft Entra ID と統合する - 動的セキュリティ グループ - アプリケーションのアプリ ロール Azure Active Directory Identity Governance ユーザーがアプリケーション ロールまたはグループにアクセスを要求できるように、エンタイトルメント管理でアクセス パッケージを構成します。 - アプリへのアクセスを制御する - アクセス パッケージのガバナンスを委任する 条件付きアクセス Microsoft Entra ID によって保護されているアプリケーションやサービスへの動的認可のための条件付きアクセスポリシーを構成します。 条件付きアクセス ポリシーでは、カスタム セキュリティ属性とアプリケーション フィルターを使用して、アプリケーション オブジェクトに割り当てられたセキュリティ属性の認可 (秘密度など) をスコープ設定します。 - 条件付きアクセス - カスタム セキュリティ属性 - アプリケーションのフィルター Privileged Identity Management PIM の検出と分析情報を使用して、特権ロールとグループを識別します。 PIM を使用して、検出された特権を管理し、ユーザーの割り当てを永続から対象に変換します。 - PIM の検出と分析情報 |
Target
1.2.2 ルール ベースの動的アクセス パート 1DoD 組織では、"定期認証" アクティビティのルールを利用して、特権の動的な有効化および無効化のための基本ルールを構築します。 リスクの高いユーザー アカウントでは、PAM ソリューションを利用して、Just-In-Time アクセスと Just Enough-Administration メソッドを使用して動的特権アクセスに移行します。 結果: - アプリケーション/サービスの機能やデータへのアクセスが、適切なエンタープライズ属性を持つユーザーい限定される - 使用可能なすべてのアプリケーションが管理者ユーザーに対して JIT/JEA アクセス許可を使用する |
Microsoft Entra ID Microsoft Entra ID の認可およびガバナンス機能を使用して、ユーザー属性、ロールの割り当て、リスク、セッションの詳細に基づいてアプリケーション アクセスを制限します。 1.2.1 の Microsoft ガイダンスを参照してください。 Privileged Identity Management Microsoft Entra および Azure ロールに対して PIM を使用します。 グループ用の PIM を使用して、PIM を他の Microsoft Entra ID アプリケーションに拡張します。 - Microsoft Entra ロール用の PIM - Azure ロール用の PIM - グループ用の PIM |
Advanced
1.2.3 ルール ベースの動的アクセス パート 2DoD 組織は、リリスクを考慮した動的アクセスの意思決定に関するルールの開発を拡大します。 動的アクセスに使用されるソリューションは、複数の柱にまたがる機械学習と人工知能機能と統合され、自動化されたルール管理が可能になります。 結果: - コンポーネントとサービスが、アプリケーションとサービスへの動的アクセスを可能にするためにルールを十分に活用する - ルール ベースの動的アクセスに利用されるテクノロジが AI/ML ツールとの統合をサポートする |
Microsoft Entra ID Protection Microsoft Entra ID Protection では、機械学習 (ML) アルゴリズムを使用してユーザーとサインインのリスクを検出します。 動的アクセスのための条件付きアクセス ポリシーで、リスク レベルに基づいてリスク条件を使用します。 - Microsoft Entra ID Protection - リスク検出 - リスクベースのアクセス ポリシー Microsoft Defender XDR Microsoft Defender XDR は、拡張された検出と対応 (XDR) ソリューションです。 Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps をデプロイし、統合を構成します。 - Defender for Endpoint を Defender for Cloud Apps と統合する |
Advanced
1.2.4 エンタープライズ ガバナンスのロールとアクセス許可パート 1DoD 組織は、残りのユーザーとグループ属性を、適切なエンタープライズ ID、資格情報、アクセス管理 (ICAM) ソリューションにフェデレーションします。 更新された属性セットは、組織が使用するユニバーサル ロールを作成するために使用されます。 ID プロバイダー (IdP) と ID、資格情報、アクセス管理 (ICAM) ソリューションのコア機能がクラウド サービスと環境に移行され、回復性とパフォーマンスの向上が可能になります。 結果: - コンポーネント属性とロール データ リポジトリがエンタープライズ ICAM にフェデレーションされる - クラウドベースのエンタープライズ IdP をクラウド アプリケーションとオンプレミス アプリケーションで使用できる - 標準化されたロールとアクセス許可のセットが作成され、属性に合わせて調整される |
Microsoft Entra ID Microsoft Entra ID は、一元管理されたマルチクラウドのエンタープライズ ID、資格情報、アクセス管理 (ICAM) プラットフォームおよび ID プロバイダーです。 Microsoft Entra Connect でハイブリッド ID を確立して、ディレクトリにユーザー データを設定します。 - Microsoft Entra ID - ハイブリッド ID Microsoft Entra アプリケーション アプリケーションを Microsoft Entra ID と統合して、動的セキュリティ グループ、アプリケーション ロール、カスタム セキュリティ属性を使用してアプリケーションへのアクセスを制御します。 - アプリの管理 - アプリ アクセスの制御 Microsoft Entra アプリケーション プロキシ レガシ認証プロトコルを使用するアプリに Microsoft Entra ID を使用するには、アプリケーション プロキシをデプロイするか、安全なハイブリッド アクセス (SHA) パートナー ソリューションを統合します。 - SHA: レガシ アプリを保護する |
Advanced
1.2.5 エンタープライズ ガバナンスのロールとアクセス許可パート 2DoD 組織は、ID プロバイダー (IdP) および ID、資格情報、アクセス管理 (ICAM) ソリューションの使用可能なすべての機能をクラウド環境に移行します。 エンクレーブ/DDIL 環境のローカルの機能が切断された機能をサポートしますが、最終的には、一元化された ID、資格情報、アクセス管理 (ICAM) ソリューションによって管理されます。 更新されたロールの使用が必須になり、リスクベースのアプローチに従って例外がレビューされるようになりました。 結果: - コンポーネントの大半が、クラウド IdP 機能を利用し、可能な場合はオンプレミスの IdP 機能が使用停止になる - 属性を評価するときに、アクセス許可とロールの使用が義務付けられる |
Microsoft Entra アプリケーション 最新のアプリケーションを Active Directory フェデレーション サービス (AD FS) から Microsoft Entra ID に移行し、AD FS インフラストラクチャの使用を停止します。 - アプリ認証を AD FS から Microsoft Entra ID に移行する Microsoft Entra アプリ プロビジョニング 残りの ICAM およびアプリケーション プロビジョニング プロセスをオンプレミス ID 管理システムから Microsoft Entra ID に移動します。 - API 駆動型の受信プロビジョニング - アプリ プロビジョニング |
1.3 多要素認証
Microsoft Entra ID では、DoD Common Access Card (CAC) や本人確認 (PIV) などの証明書ベースの認証 (CBA) がサポートされています。クラウドおよびハイブリッド (同期) ユーザーに対して、別の IdP とフェデレーションする必要はありません。 Microsoft Entra ID では、CBA、Windows Hello for Business、FIDO2 セキュリティ キー、パスキーなど、複数の業界標準の多要素フィッシング耐性パスワードレス認証方法がサポートされています。
条件付きアクセス ポリシーを作成して認証強度を適用し、ユーザー、デバイス、リスク レベルを含む環境の条件に基づいてアクセスを動的に承認できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.3.1 組織の MFA/IDPDoD 組織は、一元化された ID プロバイダー (IdP) ソリューションと多要素 (MFA) ソリューションを調達および実装します。 IdP ソリューションと MFA ソリューションは、1 つのアプリケーションで組み合わせたり、必要に応じて分離したりできます (両方のソリューションで自動統合がサポートされていることが前提となります)。 IdP と MFA はどちらも、エンタープライズ PKI 機能との統合をサポートし、信頼されたルート証明機関によってキーの組に署名できるようにします。 ミッション/タスク クリティカルなアプリケーションとサービスでは、IdP と MFA ソリューションを使用してユーザーとグループを管理しています。 結果: - コンポーネントが重要なアプリケーション/サービスに対して MFA と共に IdP を使用する - コンポーネントが DoD PKI 多要素認証を有効にする ID プロバイダー (IdP) を実装した - 重要なサービスに対する組織標準化された PKI |
Microsoft Entra 認証方法 DoD PKI を使用して Microsoft Entra CBA を構成します。 グローバル保護レベルを単一要素認証に設定します。 DoD PKI を多要素認証保護レベルとして識別するために、DoD 発行元 CA またはポリシー OID ごとにルールを作成します。 構成後、ユーザーは DoD CAC を使って Microsoft Entra にサインインします。 - Microsoft Entra ID での認証 - Microsoft Entra CBA - CBA の構成 段階的ロールアウト 段階的ロールアウトを使って、ユーザー認証をオンプレミス フェデレーション サービスから Microsoft Entra CBA に移行します。 1.2.4 の Microsoft ガイダンスを参照してください。 Microsoft Entra 認証強度 DoD CAC という新しい認証強度を作成します。 証明書ベースの認証 (多要素) を選びます。 詳細オプションを構成し、DoD PKI の証明書の発行者を選択します。 - 証強度 - カスタム認証強度 Microsoft Intune Microsoft Entra では、モバイル デバイスで証明書を使用する 2 つの方法がサポートされています。派生資格情報 (デバイス上の証明書) およびハードウェア セキュリティ キーです。 マネージド モバイル デバイスで DoD PKI からの派生資格情報を使用するには、Intune を使用して DISA Purebred をデプロイします。 - 派生資格情報 - iOS デバイスでの CBA - Android デバイスでの CBA |
Advanced
1.3.2 代替フレキシブル MFA パート 1DoD 組織の ID プロバイダー (IdP) では、多要素認証の代替方法がサポートされており、サイバー セキュリティ要件 (FIPS 140-2、FIPS 197 など) に準拠しています。 代替トークンは、アプリケーションベースの認証に使用できます。 多要素オプションでは生体認証機能がサポートされており、セルフサービス アプローチを使用して管理できます。 可能な場合、多要素プロバイダーは、オンプレミスでホストされるのではなく、クラウド サービスに移動します。 結果: - IdP がユーザーのセルフサービス代替トークンを提供する - IdP がポリシーごとに承認されたアプリケーションに対して代替トークン MFA を提供する |
Microsoft Entra 認証方法 ユーザーがパスキー (FIDO2 セキュリティ キー) を登録するための Microsoft Entra 認証方法を構成します。 オプションの設定を使用して、FIPS 140-2 に準拠するキーのキー制限ポリシーを構成します。 - パスワードレス セキュリティ キー サインイン - 認証方法 一時アクセス パス ユーザーが CAC なしで代替パスワードレス認証子を登録するための一時アクセス パス (TAP) を構成します。 - TAP の構成 条件付きアクセス 認証強度を必須にするために条件付きアクセス ポリシーを作成します。これは、セキュリティ情報登録のための DoD CAC です。 このポリシーでは、CAC で FIDO2 セキュリティ キーなどの他の認証子を登録する必要があります。 - セキュリティ情報の登録 1.3.1 の Microsoft ガイダンスを参照してください。 Windows Hello for Business Windows Hello for Business で Windows サインイン用の PIN または生体認証ジェスチャを使用します。 エンタープライズが提供する Windows デバイスでの Windows Hello for Business の登録に、デバイス管理ポリシーを使用します。 - Windows Hello for Business |
Advanced
1.3.3 代替フレキシブル MFA パート 2代替トークンでは、"ユーザー アクティビティ モニタリング (UAM) やユーザー & エンティティ ビヘイビアー分析 (UEBA)" など複数の柱にまたがるアクティビティからのユーザー アクティビティ パターンを利用して、アクセスの意思決定を支援 (パターンの逸脱が発生した場合はアクセスを許可しないなど) を行ないます。 この機能は、生体認証が有効な代替トークンにもさらに拡張されています。 結果: - ユーザー アクティビティ パターンの実装 |
Microsoft Entra ID Protection Microsoft Entra ID Protection では、機械学習 (ML) と脅威インテリジェンスを使用して危険なユーザーとサインイン イベントを検出します。 サインインおよびユーザー リスク条件を使用して、条件付きアクセス ポリシーをリスク レベルに設定します。 ベースラインの保護として、危険なサインインで MFA を必須にすることから始めます。 - Microsoft Entra ID Protection - ID 保護のデプロイ 条件付きアクセス リスクの増加に応じてより強力な保護を必須にするために、付与とセッションの制御を使用する一連のリスクベースの条件付きアクセス ポリシーを作成します。 - リスク ポリシーを構成して有効にする - 条件付きアクセス:Session - 条件付きアクセス:許可 リスクベースの条件付きアクセス ポリシーの例: 中程度のサインインリスク - 認証強度が必要: フィッシングに強い MFA - 準拠しているデバイスが必要 - サインインの頻度: 1 時間 高いサインインリスク - 認証強度が必要: フィッシングに強い MFA - 準拠しているデバイスが必要 - サインインの頻度: 毎回 高いユーザー リスク - 認証強度が必要: フィッシングに強い MFA - 準拠しているデバイスが必要 - サインイン頻度: 毎回 Microsoft Sentinel Sentinel 分析ルールとプレイブックを構成して、ユーザー リスクが高い場合に Entra ID Protection アラートのインシデントを作成します。 - Sentinel 用 Microsoft Entra ID Protection コネクタ - User:revokeSignInSessions |
1.4 特権アクセス管理
Azure Active Directory Identity Governance により、Just-In-Time (JIT) 管理、エンタイトルメント管理、定期的なアクセス レビューなどの PAM 機能が有効になります。 Microsoft Entra Privileged Identity Management (PIM) は、組織内でのロールの割り当て方法を確認するのに役立ちます。 PIM を使用して、永続的なロールの割り当ての JIT の変換、ロールの割り当てとアクティブ化の要件のカスタマイズ、アクセス レビューのスケジュール設定を行います。
条件付きアクセスでは、特権アクセス用の認証強度、リスク レベル、および準拠している特権アクセス ワークステーション (PAW) デバイスが適用されます。 Microsoft Entra ID の管理アクションは、Microsoft Entra 監査ログに記録されます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.4.1 システムの実装と特権ユーザーの移行パート 1DoD 組織は、すべての重要な特権ユース ケースをサポートするために、Privileged Access Management (PAM) ソリューションを調達して実装します。 PAM ソリューションのサポートの状態を判断するために、アプリケーション/サービス統合ポイントが識別されます。 PAM ソリューションと簡単に統合できるアプリケーション/サービスは、静的および直接的な特権アクセス許可ではなくソリューションの使用に移行されます。 結果: - Privilege Access Management (PAM) ツールが実装される - PAM ツールをサポートする、およびサポートしないアプリケーションとデバイスの特定 - PAM をサポートするアプリケーションで、緊急/組み込みアカウントの制御に PAM を使用するようになる |
Privileged Identity Management PIM をデプロイして、Microsoft Entra ID と Azure ロールを保護します。 PIM の検出と分析情報を使用して、特権ロールとグループを識別します。 PIM を使用して、検出された特権を管理し、ユーザーの割り当てを永続から対象に変換します。 - PIM の概要 - ロールの検出と分析情報 - Azure リソース Microsoft Intune Microsoft Entra、Microsoft 365、Azure 管理用に Intune マネージド PAW をデプロイします。 - 特権アクセス戦略 条件付きアクセス 条件付きアクセス ポリシーを使用して、準拠しているデバイスを必須とします。 PAW を適用するには、条件付きアクセス準拠デバイス許可コントロールでデバイス フィルターを使用します。 - デバイスのフィルター |
Target
1.4.2 システムの実装と特権ユーザーの移行パート 2DoD 組織は、サポートされている、およびサポートされていないアプリケーション/サービスのインベントリを利用して、特権アクセス管理 (PAM) ソリューションとの統合を行い、統合を拡張します。 PAM は、PAM ソリューションの対象範囲を最大化するために、より困難なアプリケーション/サービスと統合されています。 例外は、PAM ソリューションをサポートしていないアプリケーション/サービスの移行や使用停止を目的として、リスクベースの方法で管理されます。 結果: - 特権アクティビティが PAM に移行され、アクセスがフル マネージドになる |
Privileged Identity Management 特権アクセス グループとグループ用の PIM を使用して、Microsoft Entra ID と Azure 以外の Just-In-Time (JIT) アクセスを拡張します。 Microsoft 365 と Microsoft Defender XDR のセキュリティ グループや、Microsoft Entra ID と統合された Microsoft 以外のアプリケーションの特権ロール要求にマップされているセキュリティ グループを使用します。 - ロール割り当て可能なグループ - グループを PIM に取り込む - アプリケーションへのユーザーとグループの割り当て 条件付きアクセス 保護されたアクションを使用して、管理者が Microsoft Entra ID で高い特権のアクセス許可を必要とするアクションを実行するときに、保護されたアクションを使用して別の保護レイヤーを追加します。 たとえば、条件付きアクセス ポリシーとテナント間アクセス設定を管理します。 - 保護されたアクション アクティブな Microsoft Entra ロール メンバーシップを持つユーザーの条件付きアクセス ポリシーを作成します。 認証強度が必要: フィッシングに強い MFA と準拠しているデバイス。 デバイス フィルターを使用して、準拠している PAW を要求します。 - 管理者に対して MFA を必須にする - デバイスのフィルター |
Advanced
1.4.3 リアルタイム承認と JIT/JEA 分析パート 1必要な属性 (ユーザー、グループなど) の識別は自動化され、Privileged Access Management (PAM) ソリューションに統合されます。 特権アクセス要求は、自動化された承認と拒否のために PAM ソリューションに移行されます。 結果: - アカウント、アプリケーション、デバイス、(DoD のミッションに最大のリスクを及ぼす) 懸念のあるデータの識別 - PAM ツールを使用した、高リスク アカウントへの JIT/JEA アクセスへの適用 - 特権アクセス要求が必要に応じて自動化される |
特権 ID 管理 Microsoft Entra ロール、所有者やユーザー アクセス管理者などの Azure ロール、さらに特権セキュリティ グループなど、環境内でリスクの高いロールを特定します。 - ロールのためのベスト プラクティス - 特権ロール 承認を要求するように PIM ロール設定を構成します。 - Azure リソース ロールの設定 - Microsoft Entra ロールの設定 - グループ用の PIM の設定 Microsoft Entra ID ガバナンス アクセス パッケージを使用して、ロールの適格性のセキュリティ グループを管理します。 このメカニズムは、臨時管理者を管理します。セルフサービス要求、承認、ロールの適格性に関するアクセス レビューを追加します。 - エンタイトルメント管理 特権ロールにロール割り当て可能なグループを作成して、適格性の要求と承認を構成します。 "特権ロールの臨時管理者" というカタログを作成します。 ロール割り当て可能なグループをリソースとして追加します。 - ロール割り当て可能なグループ - リソースのカタログを作成して管理する "特権ロールの臨時管理者" カタログで、ロール割り当て可能なグループのアクセス パッケージを作成します。 ユーザーがエンタイトルメント管理の資格を要求するときに承認を要求するか、PIM でのアクティブ化時に承認を要求するか、その両方を選択できます。 - アクセス パッケージ |
Advanced
1.4.4 リアルタイム承認と JIT/JEA 分析パート 2DoD 組織は、ユーザーとエンティティの行動分析 (UEBA) ソリューションとユーザー アクティビティ監視 (UAM) ソリューションを Privileged Access Management (PAM) ソリューションと統合し、意思決定のためのユーザー パターン分析を提供します。 結果: - UEBA または同様の分析システムと JIT/JEA アカウント承認用の PAM ツールの統合 |
条件付きアクセス 特権アクセスの認証コンテキストを定義します。 特権アクセス認証コンテキストを対象とする条件付きアクセス ポリシーを 1 つ以上作成します。 ポリシーでリスク条件を使用し、特権アクセスの付与とセッションの制御を適用します。 フィッシングに強い MFA、準拠している特権アクセス ワークステーションなど、認証強度を必須にすることをお勧めします。 - 認証コンテキストの構成 1.4.1 の Microsoft ガイダンスを参照してください。 サインイン リスクが高い場合に特権アクセスをブロックするには、特権アクセス認証コンテキストを対象とする条件付きアクセス ポリシーをさらに作成し、"サインイン リスク - 高" の条件を設定します。 ユーザー リスクが高いポリシーでこの手順を繰り返します。 - ポリシーの展開 Privileged Identity Management 認証コンテキストを要求するように PIM ロール設定を構成します。 この設定では、ロールのアクティブ化のときに、選択した認証コンテキストに条件付きアクセス ポリシーが適用されます。 - 認証コンテキストを要求します |
1.5 ID フェデレーションとユーザーの資格証明
Microsoft Entra ID は、ID ライフサイクル管理 (ILM) で重要な役割を果たします。 Microsoft Entra テナントは、ハイパースケールのクラウド ディレクトリ サービス、ID、資格情報とアクセス管理 (ICAM) ソリューション、ID プロバイダー (IdP) です。 これは、Microsoft Entra ID やその他のアプリの内部ユーザーのライフサイクルを管理するために、ディレクトリ間プロビジョニングとアプリ プロビジョニングをサポートしています。
Azure Active Directory Identity Governance の機能は、アプリ、Microsoft Teams、セキュリティ グループ メンバーシップなどのエンタイトルメントのアクセス ライフサイクルを管理するのに役立ちます。 エンタイトルメント管理は、外部ゲストのオンボードと管理にも使用できます。 ゲスト ユーザーによる最後のアクセス パッケージが削除されたときには、アクセスをブロックしたり、そのユーザーのオブジェクトを削除したりできます。 組織が ILM 関数を Microsoft Entra ID に移行する方法については、「クラウドへの移行」をご覧ください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.5.1 組織の ID ライフサイクル管理DoD 組織は、特権ユーザーと標準ユーザーの両方のライフ サイクル管理プロセスを確立します。 プロセスは組織 ID プロバイダー (IdP) を使用して実装され、その後、最大数のユーザーに対して実施されます。 標準プロセスから外れるすべてのユーザーは、リスクベースの例外によって承認され、使用停止について定期的に評価されます。 結果: - 標準化された ID ライフサイクル プロセス |
Microsoft Entra ID ユーザー、管理者、外部ユーザー、アプリケーション ID (サービス プリンシパル) などの ID のアカウント ライフサイクルを標準化します。 - ID ライフサイクル管理 - ID とアクセス管理の運用 Azure Active Directory Identity Governance テナント内の特権ユーザーとアプリケーションの定期的なアクセス レビューを確立します。 - アクセス レビュー |
Target
1.5.2 エンタープライズ ID ライフサイクル管理パート 1DoD エンタープライズは組織と連携して、既存の ID ライフサイクル プロセス、ポリシー、標準をレビューおよび調整します。 最終的に合意されたポリシーとサポート プロセスが策定され、DoD 組織はこれに従います。 DoD 組織は、一元化またはフェデレーションされた ID プロバイダー (IdP) と ID およびアクセス管理 (IdAM) ソリューションを利用して、ID、グループ、アクセス許可の最大数に対してエンタープライズ ライフサイクル管理プロセスを実装します。 ポリシーの例外は、リスクベースの方法で管理されます。 結果: - ID ライフサイクル プロセスの自動化 - エンタープライズ ICAM プロセスおよびツールとの統合 |
Microsoft Entra ID 組織が Active Directory を使用している場合は、Microsoft Entra Connect Sync または Microsoft Entra Connect Cloud Sync を使用してユーザーを Microsoft Entra ID に同期します。注: 同期されたアカウントに特権 Active Directory アカウントを同期したり、特権クラウド ロールを割り当てたりしないでください。 - Connect 同期 - クラウド同期 - Microsoft 365 をオンプレミス攻撃から保護する - 攻撃面を減らす Privileged Identity Management PIM を使用して管理アクセスを管理します。 特権を持つ Microsoft Entra ロールと Azure ロールのアクセス レビュー頻度を確立します。 - 特権アカウント Microsoft Entra 認証方法 クラウドベースでフィッシングに耐性のある MFA メソッドを使用します。 DoD Common Access Card (CAC) を使って Microsoft Entra 資格情報ベースの認証 (CBA) を設定し、他のパスワードレスの資格情報を登録します。 1.3.2 の Microsoft ガイダンスを参照してください。 |
Advanced
1.5.3 エンタープライズ ID ライフサイクル管理パート 2DoD 組織は、エンタープライズの自動化と分析を可能にするため、エンタープライズ ライフサイクル管理プロセスに従って ID、資格情報、アクセス管理 (ICAM) ソリューションの重要な自動化機能の統合を進めます。 ID ライフサイクル管理のプライマリ プロセスは、クラウドベースのエンタープライズ ICAM ソリューションに統合されます。 結果: - 重要な IDM/IDP 関数との統合 - プライマリ ILM 関数がクラウドベースになる |
Azure Active Directory Identity Governance エンタイトルメント管理とアクセス レビューを使用して、組織’のユーザー アクセス ライフサイクルと外部ゲスト ID ライフサイクルを管理します。 - エンタイトルメント管理 - 外部ユーザー アクセス ガバナンス マネージド ID Azure リソース用マネージド ID とワークロード ID とのフェデレーションを使用して、アプリケーション資格情報の管理のリスクを軽減します。 - マネージド ID - ワークロード ID フェデレーション アプリケーション管理ポリシー アプリ管理ポリシーを構成して、テナント内のアプリケーションに追加される資格情報の種類を制御します。 passwordAddition 制限を使用して、アプリケーションの証明書資格情報を要求します。 - アプリ メソッド API - アプリの認証証明書資格情報 |
Advanced
1.5.4 エンタープライズ ID ライフサイクル管理パート 3DoD 組織は、残りの ID ライフサイクル管理プロセスを、エンタープライズ ID、資格情報、およびアクセス管理ソリューションと統合します。 エンクレーブ/DDIL 環境は、運用する権限がありますが、クラウド環境へのローカル コネクタを使用してエンタープライズ ICAM と統合します。 結果: - すべての ILM 関数が必要に応じてクラウドに移行する - すべての IDM/IDP 関数との統合 |
Microsoft Entra アプリ プロビジョニング Microsoft Entra アプリ プロビジョニングを使用して、SCIM、SQL、LDAP、PowerShell、Web サービス アプリケーションに ID を同期します。 API 駆動型アプリを使用して、異なる Active Directory インスタンスにユーザーをプロビジョニングします。 - アプリ プロビジョニング - オンプレミス アプリのプロビジョニング - API 駆動型プロビジョニング アプリの構成 |
1.6 行動、コンテキスト ID、生体認証
Microsoft Entra ID Protection は、機械学習 (ML) と脅威インテリジェンスを使用して、ID の脅威を検出、修復、防止するのに役立ちます。 この機能は、ユーザーのサインイン時のリアルタイム リスクと、時間の経過に伴って計算されるオフライン リスクを検出します。 リスクには、トークンの異常、異常なサインイン プロパティ、あり得ない移動、疑わしいユーザーの動作などがあります。
ID 保護は Microsoft Defender XDR と統合され、Microsoft Defender 製品ファミリの他のコンポーネントによって検出された ID リスクを示します。
詳細については、「リスク検出とは」をご覧ください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.6.1 ユーザーおよびエンティティのビヘイビアー分析(UEBA) とユーザー アクティビティ モニタリング (UAM) ツールを実装する。DoD 組織は、ユーザーおよびエンティティのビヘイビアー分析 (UEBA) ソリューションとユーザー アクティビティ モニタリング (UAM) ソリューションを、調達および実装します。 エンタープライズ IdP との初期統合ポイントが完了し、将来の意思決定での使用が可能になります。 結果: - UEBA と UAM の機能がエンタープライズ IDP 用に実装される |
Microsoft Entra ID Protection Microsoft Entra ID Protection をデプロイして、ユーザーとサインイン イベントに対するリアルタイムおよびオフラインのリスクの拘束を取得します。 Microsoft Entra Workload ID、ワークロード ID Premium エディションを使って、ID リスク検出をアプリケーション ID (サービス プリンシパル) に拡張します。 - ワークロード ID をセキュリティで保護する - ワークロード ID のリスクベースのポリシー 1.3.3 の Microsoft ガイダンスを参照してください。 Microsoft Defender for Cloud Apps Defender for Cloud Apps をデプロイし、Microsoft Defender for Endpoint と外部ソリューションとの統合を構成します。 Defender for Cloud Apps で異常検出ポリシーを構成します。 - Defender for Endpoint を Defender for Cloud Apps と統合する - 外部ソリューションの統合 - UEBA による不審なユーザー アクティビティの検出 Microsoft Defender for Endpoint エンドポイントを Defender for Endpoint にオンボードします。 Defender for Endpoint と Microsoft Intune 間の統合を構成します。 - Defender for Endpoint とその他のソリューション Microsoft Intune Defender for Endpoint との統合を構成し、デバイス コンプライアンス ポリシーで Defender for Endpoint マシン リスク スコアを使用します。 - Defender for Endpoint ルール 条件付きアクセス 準拠しているデバイスを必須にする条件付きアクセス ポリシーを作成します。 アクセスが許可される前に、コントロールには、Microsoft Intune で準拠しているとマークされたデバイスが必要です。 Defender for Endpoint と Intune の統合により、コンプライアンスの状態に基づいて、デバイスの正常性とリスク レベルの全体像が提供されます。 - コンプライアンス ポリシーを使用して Intune で管理するデバイスのルールを設定する Microsoft Sentinel データ ソースを Sentinel に接続し、監査ログ、サインイン ログ、Azure アクティビティ、セキュリティ イベントに対して UEBA を有効にします。 - UEBA の有効化 - 高度な脅威に対する UEBA |
Advanced
1.6.2 ユーザー アクティビティ モニタリング パート 1DoD 組織は、ユーザーおよびエンティティのビヘイビアー分析 (UEBA) とユーザー アクティビティ モニタリング (UAM) ソリューションを、組織の ID プロバイダー (IdP) と統合し必要に応じて可視性を拡張します。 重要なアプリケーションとサービスのために UEBA と UAM によって生成された分析とデータは、Just-In-Time および Just-Enough-Access ソリューションと統合され、意思決定をさらに改善します。 結果: - UEBA が必要に応じて組織 IDP と統合される - UEBA が重要なサービスのために JIT/JEA と統合される |
Azure Active Directory Privileged Identity Management PIM をデプロイし、特権ロールをオンボードします。 特権アクセスの認証コンテキストを定義します。 認証コンテキストでリスク条件を使用し、アクティブ化時に認証コンテキストが必須となるように、PIM ロール設定を構成します。 1.4.4 の Microsoft ガイダンスを参照してください。 Microsoft Sentinel データ ソースを Sentinel に接続し、監査ログ、サインイン ログ、Azure アクティビティ、セキュリティ イベントに対して UEBA を有効にします。 - UEBA の有効化 - 高度な脅威に対する UEBA Microsoft Defender for Cloud Apps Defender for Cloud Apps を使用して、クラウド アプリケーションへのセッションをモニターおよびコントロールします。 - アプリ コントロールでアプリを保護する - セッション ポリシー - 危険なユーザーを調査する |
Advanced
1.6.3 ユーザー アクティビティ モニタリング パート 2DoD 組織は、Just-In-Time および Just-Enough-Access ソリューションで意思決定が行われれた際に、モニター対象のすべてのアプリケーションとサービスに対して生成されたデータを使用して、ユーザーおよびエンティティのビヘイビアー分析 (UEBA) ソリューションとユーザー アクティビティ モニタリング (UAM) ソリューションからの分析結果を継続して使用します。 結果: - UEBA/エンティティ監視がすべてのサービスに対して JIT/JEA と統合される |
Privileged Identity Management グループ用の PIM を使用して、Just-In-Time (JIT) アクセスをアプリ ロールを使用するアプリケーションに拡張します。 PIM によって管理されるグループを特権アプリ ロールに割り当てます。 - グループ用の PIM - アプリにアプリ ロールを追加する |
1.7 最小限の特権アクセス
Microsoft Entra ID を使用するアプリケーションへのアクセスは、"既定で拒否" です。 エンタイトルメント管理やアクセス レビューなどの Azure Active Directory Identity Governance 機能は、アクセスが期限付きであるようにし、最小特権の原則に準拠し、職務の分離のための制御を適用します。
Microsoft Entra 組み込みロールを使用して、タスクに最小特権のアクセス許可を割り当てます。 管理単位を使用すると、Microsoft Entra ID ユーザーとデバイスに対するリソースベースのアクセス許可のスコープを設定できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.7.1 既定ポリシーによるユーザーの拒否DoD 組織は、内部ユーザーとグループのアクセス許可の使用を監査し、可能な場合はアクセス許可を取り消します。 このアクティビティには、アプリケーション/サービス ベースの ID とグループに対する過剰なアクセス許可とアクセスの失効や使用停止が含まれます。 可能な場合、今後のルール/動的ベースのアクセスに対する準備として、静的特権ユーザーは使用停止になるか、アクセス許可が削減されます。 結果: - アクセスに特定のロール/属性を必要とする関数/データに対して、アプリケーションが "既定で拒否" に更新される - 既定のアクセス許可レベルが下げて実装される - アプリケーション/サービスが、すべての特権ユーザーをレビュー/監査し、そのレベルのアクセス権を必要としないユーザーを削除する |
Microsoft Entra ID Microsoft Entra ID の既定のユーザーとゲストのアクセス許可を確認して制限します。 ユーザーの同意をアプリケーションに制限し、組織内の現在の同意を確認します。 - 既定のユーザー アクセス許可 - ユーザーの同意アクセス許可を制限する Microsoft Entra アプリケーション Microsoft Entra アプリへのアクセスは既定で拒否されます。 Microsoft Entra ID はエンタイトルメントを検証し、条件付きアクセス ポリシーを適用してリソース アクセスを承認します。 - アプリを統合する - アプリの統合 Azure Active Directory Identity Governance エンタイトルメント管理 ID ガバナンス機能を使用して ID とアクセスのライフサイクルを管理します。 自動アクセス要求ワークフロー、アクセスの割り当て、レビュー、有効期限を見つけます。 - エンタイトルメント管理 - アクセス レビュー カスタム ロール Microsoft Entra ID 組み込みロールを使用してリソースを管理します。 ただし、ロールが組織のニーズを満たしていない場合や、管理ユーザーの特権を最小限に抑える場合は、カスタム ロールを作成します。 ユーザー、グループ、デバイス、アプリケーションなどを管理するための詳細なアクセス許可をカスタム ロールに付与します。 - カスタム ロール 管理単位 管理単位は、ユーザー、グループ、デバイスなどの他の Microsoft Entra リソースを含む Microsoft Entra リソースです。 管理単位を使用して、組織構造に基づいて管理者のサブセットにアクセス許可を委任します。 - 管理単位 - 制限付き管理単位 - 管理単位を作成または削除する 特権 ID 管理 PIM の検出と分析情報を使用して特権を管理し、管理者の数を減らします。 特権ロールが PIM の外部に割り当てられている場合は、PIM アラートを構成します。 - ハイブリッドおよびクラウド用の特権アクセス - Microsoft Entra ロールのセキュリティ アラート - Azure ロールのセキュリティ アラート Microsoft Defender for Cloud Apps アプリケーションに付与されているアクセス許可を確認します。 Defender for Cloud Apps で危険な OAuth アプリケーションを調査します。 - アプリに付与されるアクセス許可の確認 - 危険な OAuth アプリを調査する Microsoft Sentinel PIM を使用して Sentinel アクセス用の Azure ロールを割り当て、クエリとアクティビティを定期的に監査します。 - 監査クエリとアクティビティ |
1.8 継続的認証
Microsoft Entra ID は、有効期間の短いトークンと有効期間の長いトークンを使用して、Microsoft Entra が保護するアプリケーションとサービスに対してユーザーを定期的に認証します。 Microsoft Entra ID には、標準プロトコルを改善するための継続的アクセス評価 (CAE) メカニズムがあります。 ポリシー エンジンは、ほぼリアルタイムで環境の変化に対応し、アダプティブ アクセス ポリシーを適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.8.1 単一認証DoD 組織では、基本認証プロセスを使って、セッションごとに少なくとも 1 回、ユーザーと NPE を認証します (ログオンなど)。 重要な点として、認証されるユーザーは、"組織の MFA/IDP" と (アプリケーション/サービスベースの ID とグループではなく) 組織 ID プロバイダー (IdP) を使用した並列アクティビティによって管理されます。 結果: - 認証がセッションごとにアプリケーション間で実装される |
Microsoft Entra ID Microsoft Entra ID は、Microsoft クラウド アプリケーションと組織が使用するアプリケーション間のシングル サインオン (SSO) を容易にする一元化された ID プロバイダー (IdP) です。 - Microsoft Entra ID シングル サインオン シングル サインオン (SSO) 認証方法を使用すると、ユーザーは Microsoft Entra ID 資格情報を使用してアプリケーションとサービスを認証できます。 これらのアプリには、SaaS、カスタムの基幹業務アプリケーション、オンプレミス アプリケーションなどがあります。 Microsoft Entra 認証とゼロ トラスト機能を使用して、アプリケーションに安全かつ簡単にアクセスできるようにします。 - SSO とは - Microsoft Entra と認証プロトコルの統合 Microsoft Entra アプリ プロビジョニング Microsoft Entra アプリ プロビジョニングでは、SaaS アプリケーションおよびカスタムまたはオンプレミス アプリケーションでユーザー、ロール、グループを作成、更新、削除します。 アプリの一元化された ID ソースとして Microsoft Entra ID を使用します。 アプリケーションやサービスの ID とユーザーを最小限に抑えます。 - 自動プロビジョニング - アプリ プロビジョニング Microsoft Entra ID Workload サービス プリンシパルとマネージド IDは、Microsoft Entra の非個人エンティティ (NPE) ID です。 Microsoft Entra によって保護されている API への自動 (非対話型) アクセスに、サービス プリンシパルを使用します。 - ワークロード ID - Microsoft Entra ID でのサービス プリンシパル |
Target
1.8.2 定期的な認証DoD 組織は、アプリケーションとサービスの定期認証要件を有効にします。 従来、これらは期間や期間のタイムアウトに基づいていますが、他の期間ベースの分析を使用して、ユーザー セッションの再認証を要求できます。 結果: - セキュリティ属性に基づいてセッションごとに複数回認証が実装される |
Microsoft Entra アプリケーション Microsoft Entra アプリケーションでは、ユーザーの操作なしでセッションの更新が自動的に管理されます。 1.8.1 の Microsoft ガイダンスを参照してください。 条件付きアクセス 条件付きアクセスで、ユーザー セッションを再認証するように [サインインの頻度] セッション制御を構成します。 この機能は、サインインが危険な場合、またはユーザー デバイスが管理されていないか、非準拠である場合に使用します。 - 認証セッション管理を構成する - Defender for Cloud Apps のアクセス ポリシー |
Advanced
1.8.3 継続的認証 パート 1DoD 組織のアプリケーションとサービスは、セキュリティ属性および要求されたアクセスに基づいて、複数のセッション認証を利用します。 特権の変更と関連付けトランザクション要求には、ユーザーへの多要素認証 (MFA) プッシュなどの追加の認証レベルが必要でした。 結果: - セキュリティ属性に基づいてセッションごとにトランザクション認証が実装される |
継続的アクセス評価 CAE は、時間ベースのトークンの有効期限と更新メカニズムを向上させ、ポリシー違反に対するタイムリーな応答を実現する OpenID 標準に基づいています。 CAE では、信頼できるネットワークの場所から信頼されていないネットワークの場所にユーザーが移動するなどの重要なイベントに応答する新しいアクセス トークンが必要です。 クライアント アプリケーションとバックエンド サービス API を使用して CAE を実装します。 - 継続的アクセス評価 - 重要なイベント評価 Microsoft Graph API、Outlook Online API、および SharePoint Online API を使用する Microsoft Office アプリケーションで、CAE がサポートされます。 CAE 対応 API にアクセスするために、最新の Microsoft 認証ライブラリ (MSAL) を使用してアプリケーションを開発します。 - Microsoft 365 の CAE - CAE が有効になった API 条件付きアクセス 条件付きアクセス認証コンテキストを定義して使用し、機密性の高い SharePoint サイト、Microsoft Teams、Microsoft Defender for Cloud Apps によって保護されているアプリケーション、PIM ロール アクティベーション、カスタム アプリケーションを保護します。 - 認証リソース - SharePoint サイトと OneDrive のポリシー - Defender for Cloud Apps のセッション ポリシー - PIM ロールに認証コンテキストを必須にする - 認証コンテキスト ガイダンス 管理者が Microsoft Entra ID で高度な特権アクセス許可を必要とするアクション (条件付きアクセス ポリシーやテナント間アクセス設定の管理など) を実行するときに、保護されたアクションを使用して別の保護レイヤーを追加します。 セキュリティ情報の登録やデバイスの参加などのユーザー アクションを保護します。 - 保護されたアクション - ターゲット リソース Privileged Identity Management PIM ロールのアクティブ化に認証コンテキストを必須にします。 1.4.4 の Microsoft ガイダンスを参照してください。 |
Advanced
1.8.4 継続的認証パート 2DoD 組織は、トランザクションベースの認証の使用を継続して、ユーザー パターンなどの統合を含めます。 結果: - ユーザー パターンなどのセキュリティ属性に基づいてセッションごとにトランザクション認証が実装される |
Microsoft Entra ID Protection Microsoft Entra ID Protection が異常、疑わしい、または危険な動作を検出すると、ユーザー リスク レベルが上がります。 リスク条件を使用して条件付きアクセス ポリシーを作成し、リスク レベルによる保護を強化します。 - リスク検出 1.3.3 のMicrosoft ガイダンスを参照してください。 継続的アクセス評価 リスク レベルを引き上げることは、CAE イベントとしてはクリティカルです。 CAE を実装するサービス (Exchange Online API など) では、クライアント (Outlook) が次のトランザクションに対して再認証を行う必要があります。 Microsoft Entra ID が Exchange Online アクセス用の新しいアクセス トークンを発行する前に、リスク レベルの引き上げに対する条件付きアクセス ポリシーが満たされます。 - 重大なイベントの評価 |
1.9 統合 ICAM プラットフォーム
Microsoft Entra ID では、ユーザー エンティティと非個人エンティティ (NPE) の外部公開キー基盤 (PKI) によって発行された証明書による証明書認証がサポートされています。 Microsoft Entra ID の NPE は、アプリケーション ID とデバイス ID です。 Microsoft Entra 外部 ID テナント間アクセス設定は、DoD などのマルチテナント組織がテナント間でシームレスに共同作業を行うのに役立ちます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
1.9.1 Enterprise PKI/IDP パート 1DoD エンタープライズ は組織と連携して、エンタープライズ公開キー 基盤 (PKI) および ID プロバイダー (IDP) ソリューションを、一元的かつフェデレーションされた手法で実装します。 エンタープライズ PKI ソリューションでは、単一または一連のエンタープライズ レベルのルート証明機関 (CA) を利用し、組織から信頼され、中間 CA’をオフに構築できます。 ID プロバイダー ソリューションは、1 つのソリューション、または組織全体の標準レベルのアクセス権と標準化された属性のセットを持つ組織 IDP のフェデレーション セットのいずれかである場合があります。 組織 IDP と PKI 証明機関は、エンタープライズ IdP および PKI ソリューションと統合されています。 結果: - コンポーネントが、すべてのアプリケーション/サービスに対して MFA で IdP を使用する - 組織の MFA/PKI とエンタープライズ MFA/PKI との統合 - すべてのサービスに対して組織で標準化された PKI |
Microsoft Entra ID の認証方法 Microsoft Entra ID の認証方法ポリシーを使用してユーザーの認証方法をコントロールします。 - Microsoft Entra CBA 1.3.1 の Microsoft ガイダンスをご覧ください。 認証強度 認証強度を使用して、リソースへのユーザー アクセスを制御します。 - 認証強度 Microsoft Entra 外部 ID DoD Microsoft Entra ID テナントのテナント間アクセスを構成します。 信頼設定を使用して、信頼できる DoD テナントからの外部 ID に対して MFA と準拠しているデバイス要求を受け入れます。 - テナント間アクセス アプリケーション管理ポリシー テナント アプリ管理ポリシーは、テナント内のアプリケーションのセキュリティに関するベスト プラクティスを実装するためのフレームワークです。 ポリシーを使用して、信頼できる PKI によって発行された証明書にアプリケーション資格情報を制限します。 信頼の証明書チェーンを作成するには、エンタープライズ PKI の中間 CA 証明書とルート CA 証明書に新しい証明機関 (CA) コレクションを追加します。 - certificateBasedApplicationConfiguration リソースの種類 信頼できる CA によって発行された証明書を要求するアプリケーション管理ポリシーを作成するには、passwordAddition を禁止し、trustedCertificateauthority を必要とするように制限を構成します。 作成した信頼できる CA コレクション ID を指定します。 - アプリ認証方法 API Microsoft Intune Intune では、秘密キーおよび公開キー暗号化標準 (PKCS) 証明書がサポートされています。 - PKCS 証明書 |
Advanced
1.9.2 エンタープライズ PKI/IDP パート 2必要に応じて DoD 組織は、ミッションおよびタスク クリティカルなアプリケーションとサービスに対して、ID プロバイダー (IDP) の生体認証サポートを有効にします。 生体認証機能は、組織のソリューションから企業に移行されます。 組織の多要素 (MFA) と公開キー基盤 (PKI) は使用停止され、必要に応じてエンタープライズに移行されます。 結果: - 重要な組織サービスと生体認証の統合 - エンタープライズ MFA/PKI の代わりに組織の MFA/PKI を適切に使用停止する - エンタープライズ生体認証関数の実装 |
Microsoft Entra ID Microsoft では、Microsoft Entra ID 認証と互換性のあるいくつかのコンポーネントで生体認証がサポートされています。 認証方法 Microsoft Entra ID では、プレゼンスまたはフィンガープリントを使用するハードウェア パスキー (FIDO2 セキュリティ キー) がサポートされています。 - FIDO セキュリティ キー Windows Hello for Business Windows Hello for Business は、指紋や顔スキャンなどの生体認証ジェスチャを使用します。 - ID 保護プロファイル設定 MacOS MacOS デバイスには、デバイスバインド資格情報を使用してサインインするための生体認証 (Touch ID など) があります。 - Apple デバイス用の SSO プラグイン Microsoft Authenticator Mobile デバイスと Authenticator は、パスワードレス認証にタッチと顔を使用します。 パスキーのサポートは、Authenticator のもう 1 つのフィッシングに強い認証方法です。 - Authenticator - パスワードレス サインイン - 強化されたフィッシングに強い認証 |
Advanced
1.9.3 エンタープライズ PKI/IDP Pt3DoD 組織は、残りのアプリケーション/サービスと生体認証機能を統合します。 代替多要素 (MFA) トークンを使用できます。 結果: - すべての組織サービスが生体認証と統合 |
Microsoft Entra Verified ID Verified ID を使用する分散化 ID のシナリオでは、資格情報の提示時に顔認証が必要な場合があります。 - Verfied ID - 顔チェック |
次のステップ
DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。