Microsoft Entra で ACSC Essential 8 MFA 成熟度レベル 3 を達成する
MFA 成熟度レベル 3 ACSC 定義
- 多要素認証は、組織の機密データを処理、保存、または通信する組織のオンライン サービスに対してユーザーを認証するために使用されます。
- 多要素認証は、組織の機密データを処理、保存、または通信するサード パーティのオンライン サービスに対してユーザーを認証するために使用されます。
- 多要素認証 (使用可能な場合) は、組織の機密以外のデータを処理、保存、または通信するサード パーティのオンライン サービスに対してユーザーを認証するために使用されます。
- 多要素認証は、組織の機密性の高い顧客データを処理、保存、または通信する組織のオンライン カスタマー サービスに対してユーザーを認証するために使用されます。
- 多要素認証は、組織の機密性の高い顧客データを処理、保存、または通信するサード パーティのオンライン カスタマー サービスに対してユーザーを認証するために使用されます。
- 多要素認証は、システムの 特権ユーザー を認証するために使用 されます。
- 多要素認証は、システムの特権のないユーザーを認証するために使用されます。
- 多要素認証は、データ リポジトリのユーザーを認証するために使用されます。
- 多要素認証では、ユーザーが持っているものとユーザーが知っているもの、またはユーザーが知っているものや知っているものによってロックが解除されたユーザーが持っているもののいずれかを使用します。
- オンライン サービスのユーザーの認証に使用される多要素認証は、フィッシングに対して耐性があります。
- システムのユーザーの認証に使用される多要素認証は、フィッシングに対して耐性があります。
- データ リポジトリのユーザーの認証に使用される多要素認証は、フィッシングに対して耐性があります。
- 多要素認証イベントの成功と失敗は、一元的にログに記録されます。
- イベント ログは、未承認の変更と削除から保護されます。
対象外
カスタマー サービス
成熟度レベル 2 の次の ACSC 要件は、顧客 ID に関連しており、Microsoft Entra のこのガイドの範囲外です。
- 多要素認証は、機密性の高い顧客データを処理、保存、または通信するオンライン カスタマー サービスに対して顧客を認証するために使用されます。
- オンライン カスタマー サービスの顧客の認証に使用される多要素認証は、フィッシングに対して耐性があります。
組織プロセス
成熟度レベル 2 の次の ACSC 要件は組織のプロセスであり、Microsoft Entra 従業員 ID に関するこのガイドの範囲外です。
- インターネットに接続するサーバーからのイベント ログは、サイバー セキュリティ イベントを検出するためにタイムリーに分析されます。
- インターネットに接続していないサーバーからのイベント ログは、サイバー セキュリティ イベントを検出するためにタイムリーに分析されます。
- ワークステーションからのイベント ログは、サイバー セキュリティ イベントを検出するためにタイムリーに分析されます。
- サイバー セキュリティ イベントは、サイバー セキュリティ インシデントを特定するためにタイムリーに分析されます。
- サイバー セキュリティ インシデントは、発生または検出された後、できるだけ早く最高情報セキュリティ責任者またはその代理人に報告されます。
- サイバー セキュリティ インシデントは、発生または検出された後、できるだけ早く ASD に報告されます。
- サイバー セキュリティ インシデントの特定に続いて、サイバー セキュリティ インシデント対応計画が制定されます。
MFA 成熟度レベル 3 の概要
許可される認証子の種類
ISM で許可されているフィッシング耐性の多要素認証器を使用して、成熟度レベル 3 を達成できます。
Microsoft Entra 認証方法 | Authenticator 型 |
---|---|
ハードウェアで保護された証明書 (スマートカード/セキュリティ キー/TPM) Passkeys (デバイス バインド) -> FIDO 2 セキュリティ キー -> ハードウェア TPM を使用した Windows Hello for Business (トラステッド プラットフォーム モジュール) -> Microsoft Authenticator の Passkey (デバイス バインド) |
多要素暗号ハードウェア |
推奨事項
最大の攻撃対象であるパスワードを排除するパスワードレス認証のガイダンスについては、「 Microsoft Entra でのパスワードレス認証の展開を計画する」を参照してください。
Windows Hello for Business の実装の詳細については、「 Windows Hello for Business 展開ガイド」を参照してください。
成熟度レベル 3 で許可 されていない Microsoft Entra 認証方法
- SMS サインイン
- 電子メール OTP
- Microsoft Authenticator アプリ (電話によるサインイン)
- パスワードと電話 (SMS)
- パスワードと電話 (音声通話)
- パスワードと電子メール OTP
- パスワードと Microsoft Authenticator アプリ (OTP)
- パスワードと単一要素 OTP
- パスワードと Microsoft Entra がソフトウェア TPM に参加しました
- パスワードと準拠したモバイル デバイス
- パスワードと Microsoft Entra ハイブリッドがソフトウェア TPM に参加しました
- パスワードと Microsoft Authenticator アプリ (通知)
- ハードウェア TPM に参加しているパスワードと Microsoft Entra
- パスワードと Microsoft Entra ハイブリッドがハードウェア TPM に参加しました
ゲストのフィッシング耐性多要素認証
Microsoft Entra ID では、リソース テナントでフィッシング耐性の多要素認証オプションを登録するゲストはサポートされていません。
テナント内のゲストに対してフィッシング耐性の多要素認証を適用するには、MFA の受信信頼を有効にするようにテナント間アクセスを構成する必要があります。
MFA の受信信頼を使用すると、ゲストはホーム テナントでフィッシング耐性多要素認証を実行し、テナントでのフィッシング耐性認証の条件付きアクセス ポリシー要件を満たすことができます。
詳細については、「 B2B コラボレーションのクロステナント アクセス設定を構成する - MFA とデバイス要求の受信信頼設定を変更する」を参照してください。
システム (デスクトップとサーバー) の多要素認証
デスクトップとサーバーへのアクセスについては、「多要素認証」を参照してください。
組織とサード パーティのアプリを Microsoft Entra ID と統合する
開発者が構築する組織アプリと Microsoft Entra ID を統合するには、「 開発者がビルドするアプリを統合する」を参照してください。
サード パーティ製アプリと Microsoft Entra ID を統合するには、「Microsoft Entra ID と アプリを統合するための 5 つの手順」を参照してください。