Microsoft Entra ID で多要素認証を構成する
Contoso の認証戦略を定義することで、チームは、ユーザー、サービス、および新しい AI 主導のワークロードに多要素認証 (MFA) を適用する準備が整いました。 Microsoft Entra ID P1 または P2 ライセンスを持つ組織の場合、 条件付きアクセス ポリシー は、すべてのサインインではなく、コンテキストで MFA を要求するための推奨される方法です。
適切な適用モデルを使用して MFA をデプロイする
条件付きアクセスを使用すると、MFA が必要なタイミングを正確に制御できます。 ポリシーを作成し、ユーザーまたはグループをターゲットにし、クラウド アプリまたはユーザー アクションを選択し、許可コントロールを [多要素認証を要求する] に設定します。 ポリシーは、各サインインを評価し、条件が一致した場合にのみ MFA を適用します。
ほとんどの組織は、条件付きアクセスから始める必要があります。 テナントに条件付きアクセス ライセンスが含まれていない場合、 セキュリティの既定値 では、最小限の構成でベースライン MFA が提供されますが、柔軟性は低くなります。
以前の環境では、ユーザーごとの MFA (レガシ) に遭遇する可能性があります。 それでも機能しますが、最新のポリシー ベースのコントロールとうまく統合されておらず、大規模な管理は困難です。
名前付き場所と信頼できる IP 境界を構成する
Contoso のセキュリティ チームが行う最初の改良の 1 つは、 名前付き場所の定義です。 名前付き場所は、会社のオフィスや VPN エグレス アドレスなど、信頼できる境界を表す IP 範囲または領域の論理的なグループです。
条件付きアクセスで名前付き場所を使用する場合、信頼できるサインインの摩擦を軽減しながら、それらの境界外のサインインに MFA を要求できます。 これにより、使いやすさとセキュリティのバランスを取るのに役立ちます。
注
条件付きアクセスの名前付き場所は、IPv6 をサポートし、すべての条件付きアクセス条件と統合されるため、信頼できる IP 構成に推奨されるアプローチです。 MFA サービス設定の従来の 信頼できる IP 設定は引き続き使用できますが、IPv6 はサポートされていないため、大規模な管理が困難です。
名前付きの場所を定義するには、 Microsoft Entra 管理センター>Entra ID>Conditional Access>Named の場所に移動し、IP 範囲の場所を作成して、[ 信頼できる場所としてマークする] を選択します。
リスクに一致する認証方法を構成する
MFA が必要なタイミングを決定したら、 認証方法ポリシーを使用してユーザーが使用できる方法を構成します。
Contoso は、より強力でフィッシングに対する耐性の高い方法に優先順位を付け、カバレッジのフォールバック方法を制限します。
- Microsoft Authenticator: ほとんどのユーザーのプライマリ メソッド。 番号照合とアプリ コンテキストを有効にして、誤った承認と MFA 疲労攻撃を減らします。
- OATH トークン: 規制対象の環境のユーザーや、スマートフォンを使用できないユーザーに役立ちます。
- SMS と音声通話: 選択したユーザーのバックアップとして保持します。これは、SIM スワップなどの攻撃に対して脆弱であるためです。
- サード パーティの OATH トークン: 組織にトークンへの投資とロールアウト プロセスが既にある場合に便利です。
この階層化された方法戦略により、Contoso は特権を持つユーザーに対して高い保証を維持しながら、従業員の現実を引き続きサポートできます。
登録と入学をセキュリティで保護する
ポリシーは、メソッドを登録した後でのみユーザーに要求を行うことができます。 Microsoft Entra ID では、ユーザーが MFA とセルフサービス パスワード リセット (SSPR) の方法を 1 つのエクスペリエンスで登録する 、統合された登録がサポートされています。
登録は影響の大きいワークフローであるため、明示的に保護します。 登録が制御されていない場合は、侵害されたパスワードを使用して、不正な MFA メソッドを登録できます。
[セキュリティ情報の登録] ユーザー アクションを対象とする条件付きアクセス ポリシーを使用し、次のいずれかの制御を必要とします。
- 信頼されたネットワーク境界からのサインイン。
- ブートストラップと回復のための一時アクセス パス (TAP)。
TAP は、より強力な方法のオンボード、紛失デバイスの回復、初回セットアップに特に役立ちます。
登録キャンペーンの設定を使用して、定義された日数内に登録を完了するようにユーザーに要求したりすることもできます。
ワークロード ID と AI エージェントに MFA 戦略を適用する
人間のユーザーは、リスクの表面の一部にすぎません。 サービス プリンシパル、自動化アカウント、AI エージェントは特権アクセスを持つ可能性があり、同じ厳密さで管理する必要があります。
Azure でホストされるワークロードの場合は、格納されているシークレットではなく マネージド ID を 優先します。 マネージド ID は、コードと構成から資格情報ストレージを削除し、シークレットの公開と運用上のオーバーヘッドを軽減します。
Azure の外部で実行する必要があるサービス プリンシパルの場合は、可能な限り有効期間の長いクライアント シークレットではなく 、証明書ベースの認証 を使用します。
Microsoft Entra ID では、(Microsoft Entra Workload ID Premium ライセンスを使用した) ワークロード ID の条件付きアクセス もサポートされています。これにより、サービス プリンシパルのポリシー制御が可能になります。
高度な AI エージェント シナリオの場合、 Microsoft Entra Agent ID (プレビュー) では、専用のエージェント ID を提供し、人間、ワークロード、エージェントのアクティビティ間のより明確な監査境界を提供できます。
Contoso の実装シーケンス
Contoso は、ユーザーの中断と運用上のリスクを軽減するために、MFA を段階的にロールアウトします。
- 管理者とその他の特権ロールに MFA を適用します。
- 患者データと影響の大きいアプリにアクセスする医療スタッフに MFA を適用します。
- 段階的なコミュニケーションとサポートを持つすべてのユーザーに展開します。
- 可能な場合は、サービス ワークロードをマネージド ID に移行します。
- 機密性の高い自動化のためのワークロード ID とエージェント固有の制御を追加します。
また、Contoso は Microsoft Authenticator を標準の方法として保持し、SMS と音声フォールバックを制限し、登録を毎週追跡して登録のギャップを埋めます。
導入を監視し、継続的に改善する
ロールアウト後、運用監視によって、設計が機能しているかどうかが決まります。
実際の質問に答えるために、サインインと認証方法のレポートを確認します。
- ユーザーは時間通り登録を完了していますか?
- 最も一般的な方法はどれですか。また、弱いメソッドは過剰に使用されていますか?
- ユーザーの混乱、ポリシーのギャップ、技術的な問題など、どこでエラーが発生していますか?
これらの結果を使用して、ポリシー スコープの調整、ユーザー通信の更新、ヘルプ デスクの準備の向上を行います。
MFA がデプロイされ、管理され、登録がセキュリティで保護された状態で、Contoso の ID 体験の次の主要な手順であるパスワードレス認証の拡張に向けた準備が整いました。