外部ユーザーに多要素認証の強度を要求する

  • [アーティクル]

認証強度は、外部ユーザーがリソースにアクセスするために完了する必要がある多要素認証 (MFA) 方法の特定の組み合わせを定義できる条件付きアクセス制御です。 この制御は、組織内の機密性の高いアプリへの外部アクセスを制限する場合に特に役立ちます。 たとえば、条件付きアクセス ポリシーを作成し、フィッシングに強い認証強度をポリシーで要求して、それをゲストと外部ユーザーに割り当てることができます。

Microsoft Entra ID には、3 つの組み込みの認証強度が用意されています。

  • この記事で推奨される多要素認証の強度 (制限の緩い)
  • パスワードレス MFA 強度
  • フィッシングに強い MFA 強度 (最も制限が厳しい)

組み込み強度のいずれかを使用するか、必要な認証方法に基づいてカスタム認証強度を作成できます。

外部ユーザーのシナリオでは、ユーザーがホーム テナントまたはリソース テナントのどちらで MFA を完了しているかにより、リソース テナントが受け入れることができる MFA 認証方法が異なります。 詳細については、「外部ユーザーの認証強度を参照してください。

Note

現時点では、Microsoft Entra ID で認証する外部ユーザーにのみ認証強度ポリシーを適用できます。 メールのワンタイム パスコード、SAML/WS-Fed、Google フェデレーション ユーザーの場合は、MFA 許可コントロールを使用して MFA を要求します。

MFA を信頼するためのクロステナント アクセス設定を構成する

認証強度ポリシーは、クロステナント アクセス設定の MFA 信頼設定と連携して、外部ユーザーが MFA を実行する場所と方法を決定します。 Microsoft Entra ユーザーは、まず、ホーム テナントで自分のアカウントを使って認証を行います。 その後、このユーザーがリソースへのアクセスを試みると、Microsoft Entra ID は認証強度の条件付きアクセス ポリシーを適用し、MFA 信頼が有効になっているかどうかを確認します。

  • MFA 信頼が有効になっている場合、Microsoft Entra ID は、ユーザーのホーム テナントで MFA が履行されたことを示す要求がないか、ユーザーの認証セッションを確認します
  • MFA 信頼が無効な場合、リソース テナントは、受け入れ可能な認証方法を使用してリソース テナントで MFA を完了するチャレンジをユーザーに提示します。

外部ユーザーが MFA 要件を満たすために使用できる認証方法は、ユーザーがホーム テナントとリソース テナントのどちらで MFA を完了しようとしているかによって違ってきます。 「条件付きアクセスの認証強度」の表を参照してください。

重要

条件付きアクセス ポリシーを作成する前に、テナント間アクセス設定を確認して、受信 MFA 信頼設定が目的どおりに構成されていることを確認してください。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

  • ポリシーの構成ミスによるロックアウトを防ぐため、緊急アクセス または break-glass アカウント。 万一、すべての管理者がロックアウトされるシナリオでは、緊急アクセス管理アカウントを使用してログインし、アクセスを回復するための手順を実行できます。
  • サービス アカウント および Service プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
    • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。

条件付きアクセス ポリシーを作成する

外部ユーザーに認証強度を適用する条件付きアクセス ポリシーを作成するには、次の手順を使用します。

警告

外部認証方法を使用する場合、これらは現在認証強度と比較できないため、Require 多要素認証許可制御を使用する必要があります。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [含める] で、[ユーザーとグループを選択] をオンにし、[ゲストまたは外部ユーザー] をオンにします。
      1. ポリシーを適用するゲストまたは外部ユーザーの種類を選択します。
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
  6. リソースのターゲット>リソース (以前のクラウド アプリ) の下の Include または Exclude で、認証強度要件に含めるアプリケーションまたは除外するアプリケーションを選択します。
  7. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
    1. Require 認証強度を選択し、一覧から適切な組み込みまたはカスタム認証強度を選択します。
    2. [選択] を選択します。
  8. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  9. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

関連するコンテンツ