Microsoft Entra ID 認証方法を確認する
あなたは、中規模の医療技術会社である Contoso のセキュリティ エンジニアだとします。 過去 1 年間に、あなたのチームは、フィッシング攻撃や資格情報詰め込みキャンペーンに起因する侵害されたユーザー資格情報を含む 3 つの個別のインシデントに対応しました。 マネージャーから、Contoso の現在の認証戦略を評価し、パスワード関連の侵害を排除するためのパスを推奨するように求められます。 これを効果的に行うには、Microsoft Entra ID で使用できる認証方法の全範囲と、セキュリティとユーザー エクスペリエンスの観点からそれらがどのように比較されるかを理解する必要があります。
認証方法のランドスケープ
Microsoft Entra ID は、従来のパスワードベースのアプローチから最新のパスワードレスの代替手段まで、幅広い認証方法をサポートしています。 これらのメソッドは、ユーザーが自分の身元を証明するために提示した内容に基づいてカテゴリに分類されます。
- 知っている情報: パスワードと PIN
- 所持しているもの: 登録済みデバイス、セキュリティ キー、または認証アプリ
- 存在するもの: 指紋や顔認識などの生体的特徴
ユーザーがユーザー名とパスワードを提供するパスワードベースの認証は、最も広くデプロイされている方法ですが、最も脆弱です。 パスワードは、データ侵害によってフィッシング、推測、または盗まれたりする可能性があります。 Contoso のような組織では、パスワードだけでは許容できないリスクを表します。
最新のパスワードレスメソッドは、パスワードを完全に排除します。 ユーザーは、パスワードを入力する代わりに、デバイスの所有と生体認証または PIN の組み合わせを使用して認証を行います。 FIDO2 セキュリティ キー、Windows Hello for Business、パスキーなどのメソッドは、サインイン中に共有可能なシークレットが送信されないため、ネイティブにフィッシングに強い方法です。 Microsoft Authenticator のパスワードレス サインインは、パスワードに対する強力な改善点ですが、同じレベルのフィッシング対策を実現するには、マネージド デバイスを強制する条件付きアクセス ポリシーが必要です。
ブリッジとしての多要素認証
パスワードレスにすぐに移行できない組織の場合、 多要素認証 (MFA) は重要な中間セキュリティ層を提供します。 MFA では、ユーザーは、さまざまなカテゴリの 2 つ以上の要素 (たとえば、知っているもの (パスワード) と自分が持っているもの (登録済みの電話) を組み合わせて、自分の ID を確認する必要があります。
Microsoft Entra ID では、いくつかの MFA メソッドがサポートされています。
| メソッド | タイプ | セキュリティ レベル |
|---|---|---|
| Microsoft Authenticator プッシュ通知 | アプリベース | 高 |
| Microsoft Authenticator TOTP コード | アプリベース | 高 |
| OATH TOTP ハードウェア トークン | ハードウェア | 高 |
| SMS ワンタイム パスコード | 電話 | 低から中 |
| 音声通話の確認 | 電話 | 低から中 |
注
Microsoft Authenticator の FIDO2 セキュリティ キーとパスキーは、パスワードレスでフィッシングに強い方法であり、パスワードを 2 つ目の要素として機能するのではなく、完全に置き換えます。 これらは、次のセクションのセキュリティ階層に表示されます。
Important
SMS と音声通話の検証は、従来の MFA メソッドと見なされます。 SIM スワップ攻撃に対して脆弱です。 Microsoft では、アプリベースまたはハードウェアベースの代替手段に向けて、これらの方法からユーザーを移行することをお勧めします。
多要素認証の次のユニットでは、ユーザー作成全体でこれらのメソッドを構成して適用する方法について説明します。
認証の強度とセキュリティ階層
すべての MFA メソッドで同じレベルの保護が提供されるわけではありません。 Microsoft Entra ID には 認証強度の概念が導入されています。これにより、条件付きアクセス ポリシーを使用して特定のリソースにアクセスするために必要な最小 MFA 方法を指定できます。
セキュリティ階層は、最も安全なものから最も安全なものまで、次のとおりです。
- パスワードのみ (MFA なし)
- パスワード + SMS または音声通話
- パスワード + Microsoft Authenticator アプリ
- パスワードなしのサインイン (Windows Hello for Business、FIDO2 セキュリティ キー、Microsoft Authenticator のパスキー、証明書ベースの認証)
管理ポータルや金融システムなどの機密性の高いリソースの場合、認証強度ポリシーを使用すると 、フィッシングに強い MFA が必要になります。 Microsoft Entra ID の組み込みのフィッシング耐性の強さは、Windows Hello for Business、FIDO2 セキュリティ キー、Microsoft Authenticator のパスキー、証明書ベースの認証 (CBA) の 4 つの方法ファミリを対象としています。 この区別は、Contoso の特権アカウントのアクセス ポリシーを設計する場合に重要です。
ヒント
認証強度ポリシーは、アプリケーションごとに適用されます。 最も機密性の高いシステムに対してフィッシング対策 MFA を要求すると同時に、リスクの低いアプリケーションに対して標準 MFA を許可し、セキュリティとユーザー エクスペリエンスのバランスを取ることができます。 このリソースごとの粒度は、ゼロ トラストの "明示的な検証" 原則の技術的な式です。すべてのアクセス要求は、組織全体の設定ではなく、その特定のリソースに必要な認証強度に対して評価されます。
Microsoft Entra ID 認証アーキテクチャ
ユーザーがサインインすると、要求は、Microsoft Entra ID の背後にあるクラウドネイティブ認証エンジンである Microsoft ID プラットフォームを通過します。 プラットフォームは、ユーザーの資格情報を評価し、条件付きアクセス ポリシーを適用し、認証が成功したときにトークンを発行します。
Microsoft Entra ID に参加しているデバイスの場合、最初の正常なサインイン後に プライマリ更新トークン (PRT) が発行されます。 PRT を使用すると、再認証を必要とせずに、アプリやサービス全体でシングル サインオン (SSO) が可能になり、強力な認証方法によるセキュリティの強化を補完するユーザー エクスペリエンスが有意義に向上します。
このアーキテクチャを理解すると、認証ポリシーの変更が組織全体のユーザーとアプリケーションに与える影響を予測するのに役立ちます。 重要なのは、Microsoft 365 と Azure 管理へのアクセスを管理するのと同じ認証ポリシーは、Azure AI Foundry や Microsoft Copilot for Microsoft 365 などの AI を利用したサービスにも適用され、Contoso の AI 投資に対する防御の第一線として強力な認証を行います。 この基盤を整えたので、次のユニットで多要素認証を構成する準備ができました。