セキュリティの既定値群を計画する

  • 2 分

パスワード スプレー、リプレイ、フィッシングなど、ID 関連の一般的な攻撃が広まる中で、セキュリティの管理に困難をきたす場合があります。 セキュリティの既定値群とは、組織の代わりに Microsoft が管理する、セキュリティで保護された既定の設定です。これにより、組織が独自の ID セキュリティ ストーリーを管理する準備が整うまで、お客様の安全が維持されます。 セキュリティの既定値群は、次のような構成済みのセキュリティ設定を提供します。

  • すべてのユーザーに対して、多要素認証への登録を必須にする。

  • 管理者に多要素認証の実行を要求します。

  • レガシ認証プロトコルをブロックします。

  • 必要に応じてユーザーに多要素認証の実行を要求します。

  • Azure portal へのアクセスなどの特権が必要な作業を保護します。

    セキュリティの既定値群を有効にするためのトグルが設定されている Microsoft Entra 管理センターのスクリーンショット。

可用性

Microsoft のセキュリティの既定値群は、すべてのユーザーが使用できます。 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。 テナントが 2019 年 10 月 22 日以降に作成された場合、セキュリティの既定値が既に有効になっている可能性があります。 すべてのユーザーを保護するために、作成時にすべての新しいテナントでセキュリティの既定値が有効になります。

セキュリティの既定値を有効または無効にするには、少なくとも条件付きアクセス管理者として Microsoft Entra 管理センター にサインインし、 Entra ID>Overview>Properties を参照して、[ セキュリティの既定値の管理] を選択します。

これは誰のためでしょうか?

セキュリティの既定値群を使用する必要があるのは、どのような組織ですか? セキュリティの既定値群を使用するべきではないのは、どのような組織ですか?
セキュリティ体制の向上を目指しているが、それを開始する方法も場所もわからない組織 シグナルをまとめ、意思決定を行い、組織のポリシーを適用するために、現在、条件付きアクセス ポリシーを使用している組織
Microsoft Entra ID ライセンスの Free レベルを利用している組織 Microsoft Entra ID Premium ライセンスを持つ組織
条件付きアクセスの使用を保証する複雑なセキュリティ要件のある組織

適用されるポリシー

多要素認証の登録手続きの統一

テナント内のすべてのユーザーは、Microsoft Authenticator アプリを使用して多要素認証 (MFA) に登録する必要があります。 登録はすぐに必要です。猶予期間はありません。 セキュリティの既定値が有効になった後にユーザーがサインインすると、リソースにアクセスする前に登録するように求められます。 MFA プロンプトでは、ユーザーが画面に表示される数値を Microsoft Authenticator アプリに入力する番号照合が使用されます。これにより、MFA 疲労攻撃を防ぐことができます。

管理者の保護

特権アクセス権を持つユーザーは、多くの場合、環境へのアクセスを増やします。 これらのアカウントには権限があるので、特別な注意を払って対処する必要があります。 特権アカウントの保護を強化するための一般的な方法の 1 つは、サインイン時に、強力な形式のアカウント検証を必須にすることです。 Microsoft Entra ID では、多要素認証を要求してアカウント検証を強化することができます。

多要素認証への登録が完了したら、サインインするたびに他の認証を実行するには、次の Microsoft Entra 管理者ロールが必要です。

  • グローバル管理者
  • アプリケーション管理者
  • 認証管理者
  • 認証ポリシー管理者
  • 課金管理者
  • クラウド アプリケーション管理者
  • 条件付きアクセス管理者
  • Exchange 管理者
  • ヘルプデスク管理者
  • アイデンティティガバナンス管理者
  • パスワード管理者
  • 特権認証管理者
  • 特権ロール管理者
  • セキュリティ管理者
  • SharePoint 管理者
  • ユーザー管理者

すべてのユーザーの保護

認証の追加のレイヤーが必要なアカウントは管理者アカウントだけであると考えがちです。 管理者は、機密情報への広範なアクセス権を持ち、サブスクリプション全体の設定に変更を加えることができます。 しかし、多くの場合、攻撃者はエンド ユーザーをターゲットにします。

これらの攻撃者は、アクセス権を取得した後、元のアカウント所有者に代わって機密性の高い情報へのアクセスを要求できます。 ディレクトリ全体をダウンロードして、組織全体に対してフィッシング攻撃を実行することさえできます。

すべてのユーザーを対象にした保護を向上させるための一般的な方法の 1 つは、全員に多要素認証を要求するなど、より強力な形式のアカウント検証を要求することです。 ユーザーが多要素認証の登録を完了すると、必要に応じて追加の認証を求められます。 この機能により、SaaS アプリケーションなど、Microsoft Entra ID に登録されているすべてのアプリケーションが保護されます。

レガシ認証をブロックする

ユーザーがクラウド アプリに簡単にアクセスできるように、Microsoft Entra ID では、レガシ認証を含むさまざまな認証プロトコルがサポートされています。 "レガシ認証" とは、以下のものによる認証要求です。

  • 先進認証を使用していないクライアント (Office 2010 クライアントなど)。 先進認証を使用しているのは、OAuth 2.0 などのプロトコルを実装して、多要素認証やスマートカードなどの機能をサポートするクライアントです。 レガシ認証では、通常、パスワードなどの安全性の低いメカニズムのみがサポートされます。
  • IMAP、SMTP、POP3 などのメール プロトコルを使用しているクライアント。

今日、セキュリティを侵害しているサインインの試みのほとんどは、レガシ認証によるものです。 レガシ認証では多要素認証がサポートされません。 ディレクトリで多要素認証 ポリシーが有効になっている場合でも、攻撃者は、古いプロトコルを使用して認証を受け、多要素認証をバイパスすることができます。

テナントでセキュリティ デフォルトが有効になった後は、古いプロトコルによるすべての認証要求がブロックされます。 セキュリティ既定値は、Exchange Active Sync 基本認証をブロックします。