Microsoft Entra認証強度 API の概要
名前空間: microsoft.graph
認証強度により、管理者はリソースにアクセスするために、Microsoft Entra認証方法の特定の組み合わせを要求できます。 各認証強度は、1 つ以上の認証方法の組み合わせを含み、各組み合わせは 1 つ以上の認証方法です。 条件付きアクセスの許可制御として強度がシナリオに適用される場合、ポリシーのスコープ内のユーザーは、リソースにアクセスする前に、サインイン時に許可される組み合わせを満たす必要があります。 条件付きアクセスの一部として、認証の強度は、ユーザー のリスクや場所などの他の条件付きアクセス制御と組み合わせることもできます。
たとえば、管理者は、機密性の高いリソースにアクセスする前に、フィッシング耐性の認証方法を使用してユーザーの認証を要求できます。 管理者は、パスワードや SMS などの安全性の低い多要素認証 (MFA) の組み合わせを使用してユーザーが機密でないアプリケーションにアクセスできるように認証することもできます。
この記事では、管理者が認証強度をプログラムで管理できるようにする Microsoft Graph API について説明します。
認証強度ポリシー
認証強度ポリシーは、テナントで使用できる認証強度を定義します。 authenticationStrengthPolicy リソースの種類とそれに関連付けられているメソッドを使用して、これらのポリシーを定義および管理します。 ポリシーには、次の構成が含まれます。
- ポリシーの名前、識別子、および説明。
- ポリシーの一部である認証方法の組み合わせ。
- 認証方法の要件が満たされたときに、ポリシーを使用してアクセス トークンの MFA 要求を満たすことができるかどうか。
Microsoft Entra IDでは、組み込みの認証強度ポリシーとカスタム認証強度ポリシーの両方がサポートされます。 Microsoft では、次の 3 つの組み込みポリシーを提供しています。
- 多要素認証
- パスワードレス多要素認証
- フィッシング耐性の多要素認証
組み込みのポリシーのみを読み取ることができますが、要件に合わせて最大 15 個のカスタム ポリシーを作成できます。
認証方法の組み合わせ
ポリシーの中核となるのは、認証方法の組み合わせです。 組み合わせは、コンマ区切りリスト内の 1 つ以上の認証方法で構成されます。 組み合わせは事前に定義されており、認証強度を定義するために使用されます。 これらの認証方法は、 authenticationMethodModes フラグ付き列挙型に基づいています。 組み合わせの例を次に示します。
| 許可される組み合わせの例 | 説明 |
|---|---|
fido2 |
ユーザーは、認証強度の要件を満たすために FIDO2 セキュリティ キーを使用してサインインする必要があります。 |
password,microsoftAuthenticatorPush |
ユーザーは、認証強度要件を満たすために、パスワードと Microsoft Authenticator プッシュ承認の 両方 を使用してサインインする必要があります。 |
password,softwareOath |
ユーザーは、認証強度要件を満たすために、パスワードとソフトウェア OATH トークンの 両方 を使用してサインインする必要があります。 |
Microsoft Entra IDでは、次の原則を使用して、定義済みの読み取り専用の組み合わせを提供します。
- パスワードや SMS などの最初の要素として使用できる単一要素認証方法。
- 有効な多要素認証の組み合わせ ("持っているもの" と "知っているもの") を作成するパスワードと 2 番目の要素の組み合わせ。
- FIDO2 や x509 証明書認証などのパスワードレス多要素認証子。
組み込みの認証強度はこれらの組み合わせを使用し、組み合わせはカスタム認証強度で使用できます。
サポートされている認証方法と許可される組み合わせの詳細を表示するには、 List authenticationMethodModes API を呼び出します。
組み込みポリシーの認証の組み合わせは読み取り専用です。 組み込みポリシーとその構成をすべて表示するには、 List authenticationStrengthPolicies API を呼び出します。
カスタム認証強度ポリシーを作成するには、許可されている組み合わせを使用して認証方法の組み合わせを構成する必要があります。
組み合わせ構成
特定の認証方法にさらに制限を適用して、ユーザーが認証に使用できるメソッドのインスタンスを制御できます。 これらの種類の制限は 組み合わせ構成 であり、 authenticationStrengthPolicy オブジェクトの一部としても使用できます。
組み合わせ構成は、特定の認証方法を含む 1 つ以上の組み合わせに適用される場合があります。 現在、 FIDO2 は、組み合わせ構成をサポートする唯一の方法です。
たとえば、カスタム ポリシーでは、、 の組み合わせをpassword,softwareOathfido2x509CertificateMultiFactor使用できます。 このポリシーでは、特定の Authenticator 構成証明 GUID (AAGUID) を使用して組み合わせ構成を構成することで、ユーザーが認証に使用できる FIDO2 セキュリティ キーを制限できます。
認証強度ポリシーには、0 個以上の組み合わせ構成があります。
条件付きアクセスで認証強度ポリシーを適用する
認証強度ポリシーを定義したら、条件付きアクセス ポリシーを使用して、保護されたリソースMicrosoft Entra適用して適用します。
条件付きアクセス許可コントロールで、条件付きアクセス ポリシーに関連付ける必要がある authenticationStrengthPolicy オブジェクトを割り当てることで、authenticationStrength リレーションシップを構成します。 条件付きアクセス ポリシーがサインインに適用され、そのポリシーに認証強度付与コントロールがある場合、ユーザーは許可された認証方法の組み合わせを使用してサインインする必要があります。 認証強度ポリシーは、条件付きアクセス ポリシーと テナント間アクセスの受信信頼設定の両方を通じて、ゲスト ユーザーに適用することもできます。
authenticationStrength オブジェクトは、Microsoft Entra 管理センターの条件付きアクセス ポリシーの UX の "認証強度を要求する" コントロールに対応します。
同じ条件付きアクセス ポリシーに対して、認証強度と多要素認証許可制御を構成することはできません。
次の手順
- 認証強度の詳細については、こちらをご覧ください。
- Graph エクスプローラーで API を試してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示