このドキュメントをご覧になっているお客様は、セキュリティの重要性を認識なさっていると思います。 おそらく、既に組織をセキュリティで保護する責任を負っていらっしゃるでしょう。 セキュリティの重要性を他のユーザーに納得させる必要がある場合は、最新のMicrosoftデジタル防衛レポートを読むように送信します。
このドキュメントでは、サイバー攻撃に対する組織の保護を強化するための 5 段階のチェックリストを使用して、Microsoft Entra IDの機能を使用して、より安全な体制を得るのに役立ちます。
このチェックリストは、重要な推奨アクションを迅速に展開して、組織を直ちに保護するうえで役に立ちます。ここでは、以下の方法について説明されています。
- 資格情報を強化する
- 攻撃の対象となる領域を減らす
- 脅威への対応を自動化する
- クラウド インテリジェンスを利用する
- エンドユーザー セルフサービスを有効にする
注意
このドキュメントの推奨事項の多くは、id プロバイダーとしてMicrosoft Entra IDを使用するように構成されているアプリケーションにのみ適用されます。 シングル サインオンを使用するようアプリを構成すると、資格情報ポリシーや脅威の検出、監査、ログの記録などの機能がこれらのアプリケーションに追加されるという様々な利点があります。 Microsoft Entra アプリケーション管理 は、これらすべての推奨事項の基になっている基盤です。
このドキュメントの推奨事項は、Microsoft Entra テナントの ID セキュリティ構成の自動評価である Identity Secure Score に準拠しています。 組織は、Microsoft Entra admin centerの [ID セキュリティ スコア] ページを使用して、現在のセキュリティ構成のギャップを見つけ、セキュリティに関する現在のMicrosoftベスト プラクティスに従うことができます。 セキュリティ スコア ページで各推奨事項を実装するとスコアが上がり、進行状況を追跡することができ、さらに他の似た規模の組織と実装を比較するのに役立ちます。
注意
ここで推奨される機能の一部はすべてのユーザーが利用でき、他のユーザーには Microsoft Entra ID P1 または P2 サブスクリプションが必要です。 詳細については、Microsoft Entra価格 と Microsoft Entra Deployment チェックリスト を確認してください。
作業を開始する前に、次のことを行います。MFA で特権アカウントを保護します
このチェックリストを読み始める前に、読んでいる間にセキュリティが侵害されないようにしてください。 Microsoft Entraでは、1 日あたり 5,000 万件のパスワード攻撃が発生しますが、多要素認証 (MFA) などの強力な認証を使用しているユーザーと管理者はごく一部です。 これらの統計は、2021 年 8 月のデータに基づいています。 Microsoft Entra IDでは、管理者などの特権ロールを持つユーザーが、環境の残りの部分を構築および管理するための信頼のルートです。 セキュリティ侵害の影響を最小限に抑えるため、次のことを実装します。
特権アカウントを制御している攻撃者は、重大な損害を受ける可能性があるため、 続行する前にこれらのアカウントを保護することが重要です。
準備はできたでしょうか。 それでは、チェックリストの確認に入りましょう。
ステップ 1: 資格情報を強化する
同意フィッシングや人間以外のIDに対する攻撃など、他のタイプの攻撃も登場していますが、ユーザーIDに対するパスワード ベースの攻撃は、依然としてID漏洩の最も一般的な方法です。 敵対者が巧妙に作るスピアー フィッシングやパスワード スプレー攻撃は、多要素認証 (MFA) を実装していない組織、またはこの一般的な手口に対して他の保護手段を実装していない組織に対して成功し続けています。
組織として、ID がどこでも MFA で検証され、保護されるようにする必要があります。 2020 年の連邦捜査局 (FBI) 米国インターネット犯罪苦情センター (IC3) レポートによると、被害の苦情が上位の犯罪類型として、フィッシングが挙げられています。 前年と比較して報告数が2倍になりました。 フィッシングは、企業と個人の双方にとって大きな脅威であり、昨年最も損害を与えた攻撃の多くでクレデンシャル フィッシングが利用されました。 Microsoft Entra多要素認証 (MFA) は、データとアプリケーションへのアクセスを保護し、2 番目の形式の認証を使用して別のセキュリティ層を提供します。 組織は、条件付きアクセスを使用して多要素認証を有効化し、ソリューションを組織の特定のニーズに適合させることができます。 このデプロイ ガイドを確認して、Microsoft Entra 多要素認証の計画、実装、ロールアウト方法をご確認ください。
組織で強力な認証が使用されるようにする
基本的なレベルの ID セキュリティを簡単に有効にするには、Microsoft Entra セキュリティの既定値でワンセレクト有効化を使用できます。 セキュリティの既定値では、テナント内のすべてのユーザー Microsoft Entra多要素認証が適用され、テナント全体のレガシ プロトコルからのサインインがブロックされます。
組織に P1 または P2 ライセンスMicrosoft Entra IDがある場合は、Conditional Access の分析情報とレポート ブックを使用して、構成とカバレッジのギャップを検出することもできます。 これらの推奨事項から、新しい条件付きアクセス テンプレートの経験を利用してポリシーを作成することで、このギャップを簡単に閉じることができます。 Conditional Access テンプレートは、推奨されるベスト プラクティスに合 Microsoftわせて新しいポリシーを簡単に展開できるように設計されているため、ID とデバイスを保護するための一般的なポリシーを簡単に展開できます。
攻撃されやすいパスワードを禁止して、従来の複雑さと有効期限にのルールを無効にする。
多くの組織では、従来の複雑さとパスワードの有効期限ルールを使用しています。
Microsoftの研究では、NIST特別出版800-63BデジタルIDガイドラインで述べているように、これらのポリシーは、ユーザーが推測しやすいパスワードを選んでしまう原因となります。
Microsoft Entraパスワード保護現在の攻撃者の動作を使用した動的禁止パスワード機能を使用して、ユーザーが推測しやすいパスワードを設定できないようにすることをお勧めします。 この機能は、ユーザーがクラウドで作成されるときに常にオンになりますが、Windows Server Active Directoryのパスワード保護
資格情報の漏洩から保護し、障害に対する回復力を高める
Microsoft Entra IDのオンプレミス ディレクトリ オブジェクトに対してクラウド認証を有効にする最も簡単で推奨される方法は、password ハッシュ同期 (PHS) を有効にすることです。 組織がパススルー認証またはフェデレーションによるハイブリッド ID ソリューションを使用する場合、次の 2 つの理由から、パスワード ハッシュ同期を有効にする必要があります。
- Microsoft Entra ID の「Users with leaked credentials」(資格情報が漏洩しているユーザー) レポートでは、ユーザー名とパスワードの組み合わせが公開状態にあることが警告されています。 驚くほど大量のパスワードが、後にセキュリティ侵害されるサードパーティ サイトでのパスワードの再利用、フィッシング、マルウェアによって漏洩しています。 Microsoftは、これらの漏洩した資格情報の多くを検出し、組織の資格情報と一致する場合は、このレポートで通知します。ただし、password ハッシュ同期を有効にした場合、またはクラウド専用 ID を持っている場合に限ります。
- ランサムウェア攻撃など、オンプレミスの停止が発生した場合は、パスワード ハッシュ同期を使用したクラウド認証の使用に切り替えることができます。このバックアップ認証方法を使用すると、Microsoft 365を含む、Microsoft Entra IDを使用して認証用に構成されたアプリに引き続きアクセスできます。 この場合、IT スタッフはオンプレミスの停止が解決されるまで、シャドウ IT や個人のメール アカウントに頼ってデータを共有する必要はありません。
パスワードはクリア テキストに保存されたり、Microsoft Entra IDで元に戻せるアルゴリズムで暗号化されたりすることはありません。 パスワードハッシュ同期の実際のプロセスの詳細については、「 パスワードハッシュ同期のしくみの詳細な説明」を参照してください。
AD FS エクストラネットのスマート ロックアウトを実装する
スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方法を使用して侵入しようとする悪意のあるユーザーのロックアウトを支援します。 スマート ロックアウトは、有効なユーザーからのサインインを認識し、攻撃者や他の不明なソースからのユーザーとは異なる方法で処理できます。 攻撃者はロックアウトされる一方、組織のユーザーは自分のアカウントへのアクセスを継続できるため、生産性を落とすことはありません。 Microsoft Entra ID にアプリケーションを直接認証するように構成された組織は、Microsoft Entra のスマートロックアウト機能のメリットを享受できます。 AD FS 2016 と AD FS 2019 を使用したフェデレーション デプロイでは、AD FS エクストラネット ロックアウトとエクストラネット スマート ロックアウトを使用して同様の効果を実現できます。
ステップ 2: 攻撃の対象となる領域を減らす
漏洩したパスワードが広まりやすいことを考えると、組織において攻撃の対象となる領域を最小化することが重要です。 古くて安全性の低いプロトコルの使用を無効にし、アクセス エントリ ポイントを制限し、クラウド認証に移行し、リソースへの管理アクセスをより重要に制御し、Zero Trustセキュリティ原則を採用します。
クラウド認証を使用する
資格情報は、主要な攻撃ベクトルです。 このブログの実習では、クラウド認証を使用し、MFA をデプロイし、パスワードレス認証方法を使用することで、攻撃対象領域を減らせます。 Windows Hello for Business、Microsoft Authenticator アプリでの電話によるサインイン、FIDO などのパスワードなしの方法を展開できます。
レガシ認証をブロックする
独自のレガシメソッドを使用してMicrosoft Entra IDで認証し、会社のデータにアクセスするアプリは、組織にとって別のリスクをもたらします。 レガシ認証が使用されているアプリは、POP3 クライアント、IMAP4 クライアント、SMTP クライアントなどです。 レガシ認証アプリはユーザーに代わって認証を行い、Microsoft Entra IDが高度なセキュリティ評価を実行できないようにします。 代わりとなる最新の認証では、多要素認証と条件付きアクセスがサポートされているので、セキュリティ リスクを抑えられます。
次の方法が推奨されます。
- Microsoft Entraサインイン ログとLog Analytics ワークブックを使用して、貴社内のレガシー認証を検出します。
- SharePoint Online と Exchange Online を最新の認証を使用するように設定します。
- P1 または P2 ライセンスをMicrosoft Entra IDしている場合は、条件付きアクセス ポリシーを使用してレガシ認証をブロックします。 Microsoft Entra ID Free レベルでは、Microsoft Entra のセキュリティ既定値を使用します。
- AD FS を使用している場合はレガシ認証をブロックする。
- Exchange Server 2019 でレガシ認証をブロックします。
- Exchange Onlineでレガシ認証を無効にします。
詳細については、
無効な認証エントリ ポイントをブロックする
"明示的な検証の原則" を使用して、ユーザーの資格情報が侵害された場合にその影響を軽減する必要があります。 環境内のアプリごとに有効なユース ケースを検討して、どのグループ、ネットワーク、デバイスなどの要素が承認されるかを判断し、残りをブロックします。 Microsoft Entra Conditional Accessを使用すると、定義した特定の条件に基づいて、承認されたユーザーが自分のアプリやリソースにアクセスする方法を制御できます。
クラウド アプリとユーザー アクションに条件付きアクセスを使用する方法の詳細については、「条件付きアクセス クラウド アプリ、アクション、および認証コンテキスト」を参照してください。
管理者ロールの確認と管理
もう 1 つのZero Trust柱は、侵害されたアカウントが特権ロールで動作する可能性を最小限に抑える必要性です。 この制御は、ID に最小限の特権を割り当てることによって実現できます。 Microsoft Entra のロールを初めて使用する場合は、この記事を読むことで Microsoft Entra のロールについて理解を深めることができます。
Microsoft Entra IDの特権ロールは、オンプレミス環境から分離し、オンプレミスのパスワード コンテナーを使用して資格情報を格納しないようにするために、クラウドのみのアカウントにする必要があります。
特権アクセス管理を実装する
Privileged Identity Management (PIM) は、時間ベースおよび承認ベースのロールのアクティブ化を提供し、重要なリソースに対する過剰なアクセス許可、不要なアクセス許可、または誤用されるアクセス許可のリスクを軽減します。 これらのリソースには、Microsoft Entra ID、Azure、Microsoft 365やMicrosoft Intuneなどの他のMicrosoft Online Services のリソースが含まれます。
Microsoft Entra Privileged Identity Management (PIM) を使用すると、次の操作を行うことで、アカウント特権を最小限に抑えることができます。
- 管理者ロールに割り当てられたユーザーを特定して管理する。
- 削除すべき未使用の特権ロールまたは余計な特権ロールを把握する。
- 多要素認証によって特権ロールが保護されるようルールを確立する。
- 特権タスクを完了するのに十分な期間のみ特権ロールが付与されるようルールを確立する。
PIM Microsoft Entra有効にしてから、管理者ロールが割り当てられているユーザーを表示し、それらのロールの不要なアカウントを削除します。 残りの特権ユーザーを恒久的なステータスから適格者に変更します。 最後に、適切な変更制御により、これらの特権ロールにアクセスできる必要がある場合に安全にアクセスできるよう、適切なポリシーを確立します。
組み込みロールとカスタム ロールMicrosoft Entra、Azure リソース (Azure ロール) のロールベースのアクセス制御システムに見られるロールと同様の概念に基づいて動作します。 この 2 つのロールベースのアクセス制御システムの違いは次のとおりです。
- Microsoft Entra ロールは、Microsoft Graph API を使用して、ユーザー、グループ、アプリケーションなどのMicrosoft Entra リソースへのアクセスを制御します
- Azure ロールは、Azure Resource Management を使用して、仮想マシンやストレージなどのAzure リソースへのアクセスを制御します
どちらのシステムにも、同様に使用されるロールの定義とロールの割り当ての概念が含まれています。 ただし、Microsoft Entra ロールのアクセス許可は、Azureカスタム ロールでは使用できません。その逆も同様です。 特権アカウント プロセスのデプロイの一環として、ベスト プラクティスに従って少なくとも 2 つの緊急アカウントを作成し、自分をロックアウトした場合でもMicrosoft Entra IDにアクセスできることを確認します。
詳細については、「Privileged Identity Management のデプロイを計画する」および「特権アクセスのセキュリティ保護」を参照してください。
ユーザーの同意操作を制限する
さまざまなMicrosoft Entraアプリケーションの同意エクスペリエンス、アクセス許可と同意の種類、組織のセキュリティ体制への影響を理解することが重要です。 ユーザーが自分で同意できるようにすることで、ユーザーはMicrosoft 365、Azure、その他のサービスと統合された便利なアプリケーションを簡単に取得できますが、慎重に使用して監視しないとリスクを表すことができます。
Microsoftでは、検証済みの発行元のアプリに対してのみ、選択したアクセス許可に対してのみ、エンドユーザーの同意を許可するようにユーザーの同意を制限することをお勧めします。 エンド ユーザーの同意を制限した場合でも、以前の同意の許可は引き続き有効ですが、それより後のすべての同意操作は管理者が実行する必要があります。 制限された場合、ユーザーは、統合された管理者の同意要求ワークフローまたは独自のサポート プロセスを通して管理者の同意を要求できます。 エンドユーザーの同意を制限する前に、推奨事項を使用して、組織におけるこの変更を計画してください。 すべてのユーザーにアクセスを許可するアプリケーションについては、すべてのユーザーの代わりに同意を与え、個人としてまだ同意していないユーザーがアプリにアクセスできるようにすることを検討してください。 シナリオによってはアプリケーションを利用できるユーザーを限定する場合、アプリケーション割り当てと条件付きアクセスを利用し、特定のアプリへのユーザー アクセスを制限してください。
ユーザーが新しいアプリケーションの管理者の承認を要求して、ユーザーの摩擦を減らし、サポートボリュームを最小限に抑え、ユーザーがMicrosoft Entra以外の資格情報を使用してアプリケーションにサインアップできないようにします。 同意操作を管理したら、管理者はアプリとアクセス許可を定期的に監査します。
詳細については、Microsoft Entra 同意フレームワークに関する記事を参照してください。
ステップ 3: 脅威への対応を自動化する
Microsoft Entra IDには、検出と応答の間の待機時間を取り除くために、攻撃を自動的に傍受する多くの機能があります。 犯罪者が環境に侵入するために使える時間を減らせれば、コストとリスクを抑えることができます。 実行できる具体的な手順は以下のとおりです。
詳細については、記事「方法: リスク ポリシーを構成して有効にする」を参照してください。
サインイン リスク ポリシーを実装する
サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。 サインイン リスクベースのポリシーは、特定のユーザーまたはグループに対するリスク レベルを評価する条件付きアクセス ポリシーにサインインリスク条件を追加することによって実装できます。 リスク レベル (高/中/低) に基づいて、アクセスをブロックしたり、多要素認証を適用したりするよう、ポリシーを構成できます。 リスクが中以上のサインインには多要素認証を適用することをお勧めします。
ユーザーのリスク セキュリティ ポリシーを実装する
ユーザー リスクは、ユーザーの ID がセキュリティ侵害された確率を示すもので、ユーザーの ID に関連付けられているユーザー リスク検出に基づいて計算されます。 ユーザーリスクベースのポリシーは、リスクレベルを特定のユーザーに評価する条件付きアクセスポリシーにユーザーリスク条件を追加することによって実装できます。 低、中、高のリスクレベルに基づいて、アクセスをブロックしたり、多要素認証を使用する安全なパスワード変更を要求したりするよう、ポリシーを構成できます。 Microsoftの推奨事項は、リスクの高いユーザーに安全なパスワードの変更を要求することです。
ユーザーのリスク検出に含まれるのは、ユーザーの資格情報がサイバー犯罪者によって漏洩した資格情報と一致するかどうかを確認することです。 最適に機能するには、Microsoft Entra Connect Sync を使用してパスワード ハッシュ同期を実装することが重要です。
Microsoft Defender XDRとMicrosoft Entra ID Protectionの統合
ID 保護で、可能な限り高いリスク検出を実行できるようにするには、可能な限り多くのシグナルを取得する必要があります。 そのため、Microsoft Defender XDR サービスの完全なスイートを統合することが重要です。
- Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー)
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps(クラウドアプリを守るマイクロソフトのセキュリティサービス)
Microsoft Threat Protection の詳細と、さまざまなドメインを統合することの重要性については、次の短いビデオを参照してください。
監視とアラートの設定
疑わしい動作を検出するには、ログの監視と監査が重要です。 Azure ポータルには、Microsoft Entra ログを他のツール (Microsoft Sentinel、Azure Monitor、その他の SIEM ツールなど) と統合する方法がいくつかあります。 詳細については、「Microsoft Entra セキュリティ操作ガイドを参照してください。
ステップ 4: クラウド インテリジェンスを利用する
セキュリティ関連イベントの監査とログ、および関連する警告は、効率的な保護戦略に欠かせない構成要素です。 セキュリティのログやレポートは、疑わしいアクティビティの電子記録となり、外部からネットワークへの侵入または内部からの攻撃が試みられたこと、または成功したことを示すパターンを検出するために役立ちます。 監査機能を使うと、ユーザー アクティビティの監視、規制へのコンプライアンスの文書化、フォレンジック分析の実行などが可能になります。 警告によってセキュリティ イベントが通知されます。 Azure Monitorまたは SIEM ツールにエクスポートすることで、サインイン ログとMicrosoft Entra IDの監査ログの両方にログ保持ポリシーが設定されていることを確認します。
Microsoft Entra IDの監視
Microsoft Azureサービスと機能を使用すると、セキュリティ ポリシーとメカニズムのギャップを特定し、それらのギャップに対処して侵害を防ぐのに役立つ、構成可能なセキュリティ監査とログ記録のオプションが提供されます。 Azureログ記録と監査を使用し、Microsoft Entra 管理センターでの監査アクティビティレポートを使用できます。 ユーザー アカウント、特権アカウント、アプリ、デバイスの監視の詳細については、Microsoft Entra セキュリティ操作ガイドを参照してください。
ハイブリッド環境で Microsoft Entra Connect Health を監視する
Microsoft Entra Connect Health を使用した AD FS の監視により、AD FS インフラストラクチャに対する潜在的な問題と攻撃の可視性に関するより優れた分析情報が得られます。 ADFS のサインインを表示して、監視の詳細を確認できるようになりました。 Microsoft Entra Connect Health は、詳細、解決手順、関連ドキュメントへのリンク、認証トラフィックに関連するいくつかのメトリックの使用状況分析、パフォーマンスの監視とレポートを含むアラートを提供します。 お使いの環境の基準を特定し、変更があった場合にアラートを通知するために役立つ、 ADFS の危険な IP ブック を利用します。 すべてのハイブリッド インフラストラクチャは、階層0の資産として監視する必要があります。 これらの資産の詳細な監視ガイダンスについては、「 インフラストラクチャのセキュリティ運用ガイド」を参照してください。
Microsoft Entra ID Protection イベントを監視する
Microsoft Entra ID Protection には、毎日監視する必要がある 2 つの重要なレポートが用意されています。
- 危険なサインイン レポートでは、正当な所有者がサインインを実行したかどうかを調査する必要があるユーザー サインイン アクティビティが明らかになります。
- 危険なユーザー レポートでは、侵害された可能性があるユーザー アカウントが明らかになります。たとえば、検出された資格情報の漏洩や、別の場所からサインインしたユーザーが、あり得ない移動イベントを引き起こすケースなどです。
監査アプリと同意されたアクセス許可
だまされたユーザーが侵害された Web サイトやアプリに移動することで、ユーザーのプロファイル情報やメールなどのユーザー データにアクセスされる可能性があります。 悪意のあるアクターは、受け取った同意されたアクセス許可を使用して、メールボックスの内容を暗号化し、メールボックス データを回復するための身代金を要求できます。 管理者はユーザーによって付与された権限を確認および監査する必要があります。 ユーザーによって付与されたアクセス許可を監査するだけでなく、プレミアム環境で危険または望ましくない OAuth アプリケーションを検索する こともできます。
ステップ 5: エンドユーザー セルフサービスを有効にする
できるだけセキュリティと生産性のバランスをとる必要があります。 セキュリティの基盤を構築するという考え方でアプローチし、警戒を緩めないままユーザーに権限を与えることで、組織の手間を省くことができます。
セルフサービス パスワード リセットを実装する
Microsoft Entra IDのサービスパスワードリセット(SSPR)は、IT 管理者がヘルプデスクや管理者の介入なしにパスワードやアカウントをリセットまたはロック解除できるようにする簡単な手段を提供します。 このシステムには、ユーザーがいつパスワードをリセットしたかを追跡する詳細なレポートと、誤用または悪用について警告する通知が用意されています。
セルフサービス グループとアプリケーションのアクセスを実装する
Microsoft Entra IDでは、管理者以外のユーザーがセキュリティ グループ、Microsoft 365 グループ、アプリケーション ロール、アクセス パッケージ カタログを使用してリソースへのアクセスを管理できます。 セルフサービス グループ管理を使用すると、グループ所有者は、管理者ロールを割り当てられることなく、自分のグループを管理できます。 ユーザーは、管理者に頼らずにMicrosoft 365 グループを作成して管理し、未使用のグループは自動的に期限切れになります。 Microsoft Entraエンタイトルメント管理は、包括的なアクセス要求ワークフローと自動有効期限を使用して、委任と可視性をさらに有効にします。 管理者以外のユーザーに、従業員のマネージャーやビジネス パートナー スポンサーを承認者として構成するなど、アクセスを承認する必要があるユーザー向けのカスタム ポリシーを使用して、自分が所有するグループ、Teams、アプリケーション、および SharePoint Online サイトに対して独自のアクセス パッケージを構成する機能を委任できます。
Microsoft Entra アクセス レビューを実装する
Microsoft Entra アクセス レビューでは、アクセス パッケージとグループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、特権ロールの割り当てを管理して、セキュリティ標準を維持できます。 ユーザー自身、リソース所有者、その他のレビュー担当者による通常の監視によって、ユーザーが必要なくなったアクセスを長期間にわたって保持しないですみます。
自動ユーザー プロビジョニングを実装する
プロビジョニングとプロビジョニング解除は、複数のシステム間でデジタル ID の一貫性を確保するプロセスです。 一般に、これらのプロセスは ID ライフサイクル管理の一環として適用されます。
プロビジョニングは、特定の条件に基づいて、対象のシステムに ID を作成するプロセスです。 プロビジョニング解除は、条件を満たさなくなった ID を対象のシステムから削除するプロセスです。 同期は、ソース オブジェクトとターゲット オブジェクトがほぼ一致するように、プロビジョニングされたオブジェクトを最新の状態に維持するプロセスです。
Microsoft Entra IDでは、現在、自動プロビジョニングの 3 つの領域が提供されています。 以下のとおりです:
- ディレクトリを除く外部の信頼できる記録システムから Microsoft Entra ID へのプロビジョニング (人事主導のプロビジョニング使用)
- Microsoft Entra IDからアプリケーションへのプロビジョニング (アプリケーション プロビジョニング) 経由
- Microsoft Entra IDとActive Directory Domain Services間のプロビジョニングは、ディレクトリ間プロビジョニングを通じて行います。
詳細はここをクリックしてご覧ください: Microsoft Entra IDを使用したプロビジョニングとは何ですか?
まとめ
ID インフラストラクチャのセキュリティについては多数の側面があります。しかし、この 5 ステップのチェックリストを利用すれば、セキュリティで保護されたより安全な ID インフラストラクチャをすばやく実現できます。
- 資格情報を強化する
- 攻撃の対象となる領域を減らす
- 脅威への対応を自動化する
- クラウド インテリジェンスを利用する
- エンドユーザー セルフサービスを有効にする
Microsoft は、お客様がセキュリティの重要性を認識していることを理解しています。ぜひ、このドキュメントを、組織のセキュリティ体制を強化するためのロードマップとしてお役立てください。
次のステップ
推奨事項の計画と展開に関するサポートが必要な場合は、Microsoft Entra ID プロジェクト展開計画を参照してください。
これらの手順がすべて完了していることを確信している場合は、Microsoftの Identity Secure Score を使用します。これにより、最新のベスト プラクティスとセキュリティ上の脅威を最新の状態に保つことができます。