Microsoft マネージド ポリシー

  • [アーティクル]

2023 年 10 月の Microsoft Digital Defense Report で言及があったように

...デジタルの平和に対する脅威により、テクノロジへの信頼が低下し、あらゆるレベルでサイバー防御を改善する緊急の必要性が強調されました。

...Microsoft では、10,000 人を超えるセキュリティ専門家が毎日 65 兆を超えるシグナルを分析しており、サイバーセキュリティにおける最も影響力のある分析情報の一部を推進しています。 協力することで、革新的なアクションと集団防御を通じて、サイバー回復力を構築することができます。

この作業の一環として、Microsoft マネージド ポリシーを世界中の Microsoft Entra テナントで使用できるようにします。 これらの簡素化された条件付きアクセス ポリシーでは、多要素認証が必要となるアクションが実行されます。最近の調査によれば、これによって侵害のリスクを 99.22% 低減できます。

Microsoft では、起動時に次の 3 つのポリシーをデプロイしています。このポリシーにより、組織のセキュリティ体制が強化されることをデータが示しています。

  • Microsoft 管理ポータルにアクセスする管理者に対する多要素認証
  • ユーザーごとの多要素認証ユーザーに対する多要素認証
  • 危険なサインインに対する多要素認証と再認証

Microsoft Entra 管理センターの Microsoft マネージド ポリシーの例を示すスクリーンショット。

最低でも条件付きアクセス管理者ロールが割り当てられている管理者は、[保護]>[条件付きアクセス]>[ポリシー] の下にある [Microsoft Entra 管理センター] でこれらのポリシーを参照できます。

管理者は、ポリシーの [状態] (オン、オフ、またはレポート専用) と [除外 ID] (ユーザー、グループ、ロール) を [編集] できます。 組織では、他の条件付きアクセス ポリシーと同じように、これらのポリシーから中断アクセス アカウントまたは緊急アクセス アカウントを除外する必要があります。 Microsoft マネージド バージョンで許可されている基本ポリシーよりも多くの変更を加える必要がある場合には、組織はこれらのポリシーを複製できます。

これらのポリシーが [レポート専用] の状態のままである場合は、テナントで導入されてから 90 日以内に Microsoft によって有効にされます。 管理者は、これらのポリシーをすぐにオンにするか、ポリシーの状態をオフに設定してオプトアウトするかを選択できます。 お客様には、ポリシーが有効になる 28 日前に、電子メールとメッセージ センターの投稿で通知が行われます。

ポリシー

これらの Microsoft マネージド ポリシーを使用すると、管理者はユーザーを除外したり、[レポート専用] モードから [オン] または [オフ] に切り替えたりするなどの簡単な変更を行うことができます。 組織は、Microsoft マネージド ポリシーの名称変更や削除を行うことはできません。 管理者が条件付きアクセス ポリシーの扱いに慣れれば、ポリシーを複製してカスタム バージョンを作成することもできます。

脅威は時間と共に進化しているため、Microsoft では今後、これらのポリシーを変更して、新機能の活用や機能の改善を行う可能性があります。

Microsoft 管理ポータルにアクセスする管理者に対する多要素認証

このポリシーは、高い特権をもつと見なされる 14 の管理者ロールを対象としています。これらは Microsoft 管理ポータル グループにアクセスするロールであり、これに対しては多要素認証の実行が要求されます。

このポリシーは、セキュリティの既定値が有効になっていない Microsoft Entra ID P1 テナントおよび P2 テナントを対象とします。

ユーザーごとの多要素認証ユーザーに対する多要素認証

このポリシーは、ユーザーごとの MFA のユーザーをカバーしています。これは Microsoft が推奨しなくなった構成です。 条件付きアクセスは、多くの追加機能を備えた、優れた管理者エクスペリエンスを提供します。 すべての MFA ポリシーを条件付きアクセスに統合すると、MFA を要求する対象を絞り込むことができ、セキュリティ態勢を維持しながらエンド ユーザーの抵抗を軽減できます。

このポリシーは、セキュリティの既定値群ポリシーが有効になっておらず、ユーザーごとの MFA が有効になっている/適用されているユーザーが 500 人未満である Microsoft Entra ID P1 および P2 のライセンスのあるユーザーのみを対象とします。

このポリシーをより多くのユーザーに適用するには、ポリシーを複製して割り当てを変更します。

ヒント

上部にある [編集] 鉛筆を使用して、Microsoft が管理するユーザーごとの多要素認証ポリシーを変更すると、[更新に失敗しました] というエラーが発生する可能性があります。 この問題を回避するには、ポリシーの [除外された ID] セクションの [編集] を選びます。

危険なサインインに対する多要素認証と再認証

このポリシーは、すべてのユーザーを対象とし、リスクの高いサインインを検出するときに MFA と再認証を必要とします。この場合のリスクが高いということは、ユーザーがサインインした方法が通常とは異なることを意味します。 このようなリスクの高いサインインには: 非常に異常な移動、パスワード スプレー攻撃、トークン リプレイ攻撃などがあります。 これらのリスク定義の詳細については、「リスク検出とは」に関する記事を参照してください。

このポリシーは、セキュリティの既定値が有効ではなく、各ユーザーに十分なライセンスがある Microsoft Entra ID P2 テナントを対象とします。 Microsoft は、危険なユーザーが MFA に登録することを許可していません。 ユーザーのロックアウトを回避するために、このポリシーは、すべてのユーザーが既に MFA に登録されている組織でのみ利用できます。

レガシー認証をブロックする

このポリシーは、レガシ認証プロトコルがアプリケーションにアクセスするのをブロックします。 レガシ認証とは、次によって行われる認証要求を指します。

  • 先進認証を使用していないクライアント (Office 2010 クライアントなど)
  • IMAP、SMTP、POP3 などの古いメール プロトコルを使用しているクライアント
  • レガシ認証を使用したサインインの試行はすべてブロックされます。

セキュリティ侵害とされるサインイン試行の多くはレガシ認証です。 レガシ認証では多要素認証がサポートされていないため、攻撃者は古いプロトコルを使用して MFA 要件を回避できます。

Azure の管理に多要素認証を要求する

このポリシーは、次のような Azure Resource Manager API を使用して管理されているさまざまな Azure サービスにアクセスしようとしているすべてのユーザーを対象としています。

  • Azure portal
  • Microsoft Entra 管理センター
  • Azure PowerShell
  • Azure CLI

これらのリソースのいずれかにアクセスしようとすると、ユーザーはアクセスを取得する前に MFA を完了する必要があります。

管理者に多要素認証を要求する

このポリシーは、高い特権を持つと見なされる 14 の管理者ロールのいずれかを持つすべてのユーザーを対象としています。 これらの高い特権を持つアカウントには強力な権限があるため、アプリケーションにサインインするたびに MFA が必要になります。

すべてのユーザーに多要素認証を要求する

このポリシーは組織内のすべてのユーザーを対象としており、サインインするたびに MFA を要求します。 ほとんどの場合、セッションはデバイスに保持され、ユーザーが別のアプリケーションと対話するときに MFA を完了する必要はありません。

ポリシーの効果を確認する方法

管理者は、[サインインに対するポリシーの影響] セクションを参照して、環境内のポリシーの効果の概要を簡単に確認できます。

組織におけるポリシーの影響を示すスクリーンショット。

管理者は、Microsoft Entra サインイン ログを詳細に確認して、組織内でこれらのポリシーが機能していることを確認できます。

  1. Microsoft Entra 管理センターレポート閲覧者以上でサインインしてください。
  2. [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
  3. 確認する特定のサインインを見つけます。 フィルターと列を追加または削除して、不要な情報を除外します。
    1. 次のフィルターを追加して、範囲を絞り込みます。
      1. 関連付け ID: 調査対象の特定のイベントがある場合。
      2. 条件付きアクセス: ポリシーの失敗/成功を表示します。 フィルターの範囲を設定して、失敗のみを表示するように結果を制限します。
      3. ユーザー名: 特定のユーザーに関連する情報を表示します。
      4. 日付: 対象の期間に範囲を設定します。
  4. ユーザーのサインインに対応するサインイン イベントが見つかったら、[条件付きアクセス] タブを選択します。[条件付きアクセス] タブには、サインインが中断される原因となった特定のポリシーが表示されます。
    1. さらに調査するには、 [ポリシー名] をクリックして、ポリシーの構成にドリルダウンします。 [ポリシー名] をクリックすると、選択したポリシーのポリシー構成ユーザー インターフェイスが表示され、レビューおよび編集できます。
    2. 条件付きアクセス ポリシーの評価に使用された クライアント ユーザーデバイスの詳細は、サインイン イベントの [基本情報][場所][デバイス情報][認証の詳細][追加情報] タブでも参照できます。

条件付きアクセスとは

条件付きアクセスは、組織がリソースにアクセスするときにセキュリティ要件を適用できるようにする Microsoft Entra の機能です。 条件付きアクセスは一般的に、多要素認証、デバイス構成、ネットワークの場所の要件を適用するために使用されます。

これらのポリシーは、論理的な 'if-then' ステートメントと考えることができます。

If 割り当て (ユーザー、リソース、条件) が true の場合は、then ポリシーのアクセス制御 (許可またはセッション) を適用します。 If Microsoft 管理ポータルのいずれかにアクセスする管理者である場合は、then 多要素認証を実行して、実際に自分であることを証明する必要があります。

さらに変更を加えたい場合はどうすればよいですか?

管理者は、ポリシー一覧ビューの [複製] ボタンを使用してポリシーを複製して、これらのポリシーをさらに変更できます。 この新しいポリシーは、他の条件付きアクセス ポリシーと同じ方法で、Microsoft の推奨する位置から開始して構成できます。

これらのポリシーの対象となる管理者ロールは何ですか?

  • グローバル管理者
  • アプリケーション管理者
  • 認証管理者
  • 課金管理者
  • クラウド アプリケーション管理者
  • 条件付きアクセス管理者
  • Exchange 管理者
  • ヘルプデスク管理者
  • パスワード管理者
  • 特権認証管理者
  • 特権ロール管理者
  • セキュリティ管理者
  • SharePoint 管理者
  • ユーザー管理者

多要素認証に別のソリューションを使用する場合

フェデレーションまたは最近発表された外部の認証方法を使用して完了した多要素認証は、マネージド ポリシーの要件を満たします。

次のステップ