Microsoft Entra ID で組織の ID をセキュリティで保護
現在の世界では、労働者をセキュリティで保護することは困難になりがちです。速やかに対応して多数のサービスへのアクセスを迅速に提供しなければならない場合、特にそのように感じます。 この記事では、実行するアクションの簡潔なリストを提供し、所有しているライセンスの種類に基づいて機能を特定して優先順位を付けられるようにします。
Microsoft Entra ID には多数の機能が用意されており、ID に対して多くのセキュリティ層が用意されているため、関連性の高い機能に移動するのが困難な場合があります。 このドキュメントは ID をセキュリティで保護することを第一に考え、組織がサービスを迅速に展開できるようにすることを目的としています。
各テーブルはユーザーの手間を最小限に抑えながら、一般的なセキュリティ攻撃から ID を保護するため、セキュリティに関する推奨事項が提供します。
このガイダンスは、次のことに使用できます。
- 安全で保護された方法で、サービスとしてのソフトウェア (SaaS) とオンプレミス アプリケーションへのアクセスの構成
- クラウド ID とハイブリッド ID の両方
- リモートまたはオフィスで作業しているユーザー
前提条件
このガイドでは、クラウド専用 ID またはハイブリッド ID が Microsoft Entra ID で既に確立されていることを前提としています。 ID の種類を選択する方法については、「Microsoft Entra ハイブリッド ID ソリューションの適切な認証 (AuthN) 方法の選択」の記事を参照してください。
Microsoft は、組織が全体管理者ロールが永続的に割り当てられる 2 つのクラウド専用緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "break glass" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関する推奨事項に従って作成する必要があります。
ガイド付きチュートリアル
この記事に記載されている多くの推奨事項のガイド付きチュートリアルについては、Microsoft 365 管理センターにログインしたときの「Microsoft Entra ID の設定」ガイドを参照してください。 ログインして自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、「Microsoft 365 セットアップ ポータル」に移動してください。
Microsoft Entra ID Free、Office 365、Microsoft 365 の顧客向けのガイダンス
Microsoft Entra ID Free、Office 365、Microsoft 365 Apps の顧客がユーザー ID を保護するために行う推奨事項が多数あります。 次のテーブルでは、次のライセンス サブスクリプションの主要なアクションを強調することを目的としています。
- Office 365 (Office 365 E1、E3、E5、F1、A1、A3、A5)
- Microsoft 365 (Business Basic、Apps for Business、Business Standard、Business Premium、A1)
- Microsoft Entra ID Free (Azure、Dynamics 365、Intune、Power Platform に含まれています)
| 推奨される操作 | 詳細 |
|---|---|
| セキュリティの既定値群の有効化 | 多要素認証を有効にしてレガシ認証をブロックすることにより、すべてのユーザー ID とアプリケーションを保護します。 |
| パスワード ハッシュ同期の有効化 (ハイブリッド ID を使用している場合) | 認証に冗長性を提供してセキュリティを強化します (スマート ロックアウト、IP ロックアウト、漏洩した資格情報を検出する機能など)。 |
| AD FS スマート ロックアウトの有効化 (該当する場合) | 悪意のあるアクティビティによるエクストラネット アカウント ロックアウトからユーザーを保護します。 |
| Microsoft Entra スマート ロックアウトの有効化 (マネージド ID を使用している場合) | スマート ロックアウトは、ユーザーのパスワードを推測しようとしたり、ブルート フォース方法を使用して侵入しようとしたりする不正なアクターをロックアウトできるようにします。 |
| アプリケーションにエンドユーザーの同意の無効化 | 管理者の同意ワークフローにより、エンド ユーザーが会社のデータを漏洩しないように、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 Microsoft は、将来のユーザーの同意運用を無効にし、攻撃の対象となる領域を減らしてこのリスクを軽減することをお勧めしています。 |
| サポートされている SaaS アプリケーションをギャラリーから Microsoft Entra ID に統合し、シングル サインオン (SSO) の有効化 | Microsoft Entra ID には、あらかじめ統合された数千に及ぶアプリケーションを含むギャラリーがあります。 組織で使用しているアプリケーションの一部は、Azure Portal から直接アクセスできるギャラリーにある可能性があります。 ユーザー エクスペリエンスの向上 (シングル サインオン (SSO)) により、企業の SaaS アプリケーションへのアクセスをリモートで安全に提供します。 |
| SaaS アプリケーションからユーザー プロビジョニングとプロビジョニング解除の自動化 (該当する場合) | ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションのユーザー ID と役割を自動的に作成します。 自動プロビジョニングには、ユーザー ID の作成に加え、状態または役割が変化したときのユーザー ID のメンテナンスと削除も含まれ、組織のセキュリティが向上します。 |
| 安全なハイブリッド アクセスの有効化: 既存のアプリ デリバリー コントローラーとネットワークでレガシ アプリをセキュリティで保護 (該当する場合) | 既存のアプリケーション デリバリー コントローラーまたはネットワークを使用してオンプレミスやクラウド レガシの認証アプリケーションを Microsoft Entra ID に接続することにより、それらの認証アプリケーションを発行して保護します。 |
| セルフサービス パスワード リセットを有効にする (クラウド専用アカウントに適用可能) | ユーザーがデバイスやアプリケーションにログインできないとき、この機能はヘルプデスクへの問い合わせや生産性の損失を減少させます。 |
| 可能な場合、最小特権ロールの使用 | 管理者には、アクセスする必要がある領域のみに必要なアクセスを付与します。 |
| Microsoft のパスワード ガイダンスの有効化 | 設定したスケジュールでユーザーにパスワード変更を要めることをやめて、複雑さの要件を無効にすると、ユーザーは自分のパスワードを覚えやすくなって安全に維持できるようにします。 |
Microsoft Entra ID P1 の顧客のガイダンス
次のテーブルでは、次のライセンス サブスクリプションの主要なアクションを強調表示することを目的としています。
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3、A3、F1、F3)
| 推奨される操作 | 詳細 |
|---|---|
| Microsoft Entra 多要素認証と SSPR の統合された登録エクスペリエンスを有効にし、ユーザー登録エクスペリエンスの簡略化 | Microsoft Entra 多要素認証とセルフサービス パスワード リセットの両方に対し、ユーザーが 1 つの共通エクスペリエンスで登録できるようにします。 |
| 組織の多要素認証設定の構成 | 多要素認証を使用した侵害からアカウントを確実に保護します。 |
| セルフサービス パスワード リセットを有効にする | ユーザーがデバイスやアプリケーションにログインできないとき、この機能はヘルプデスクへの問い合わせや生産性の損失を減少させます。 |
| パスワード ライトバックの実装 (ハイブリッド ID を使用している場合) | クラウドでのパスワードの変更が、オンプレミスの Windows Server Active Directory 環境に書き戻すことを許可します。 |
| 条件付きアクセス ポリシーの作成と有効化 | 管理者権限が割り当てられているアカウントを保護するため、管理者が使用する多要素認証。 レガシ認証プロトコルに関連付けられたリスク増加のため、レガシ認証プロトコルをブロックします。 環境に合わせてバランスの取れた多要素認証ポリシーを作成し、ユーザーとアプリケーションをセキュリティで保護するため、すべてのユーザーとアプリケーション向け多要素認証。 Azure リソースにアクセスするすべてのユーザーに対して多要素認証を要めることにより、Azure 管理に多要素認証を求めて特権リソースを保護します。 |
| パスワード ハッシュ同期の有効化 (ハイブリッド ID を使用している場合) | 認証に冗長性を提供してセキュリティの強化 (スマート ロックアウト、IP ロックアウト、漏洩した資格情報を検出する機能など) |
| AD FS スマート ロックアウトの有効化 (該当する場合) | 悪意のあるアクティビティによるエクストラネット アカウント ロックアウトからユーザーを保護します。 |
| Microsoft Entra スマート ロックアウトの有効化 (マネージド ID を使用している場合) | スマート ロックアウトは、ユーザーのパスワードを推測しようとしたり、ブルート フォース方法を使用して侵入しようとしたりする不正なアクターをロックアウトできるようにします。 |
| アプリケーションにエンドユーザーの同意の無効化 | 管理者の同意ワークフローにより、エンド ユーザーが会社のデータを漏洩しないように、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 Microsoft は、将来のユーザーの同意運用を無効にし、攻撃の対象となる領域を減らしてこのリスクを軽減することをお勧めしています。 |
| アプリケーション プロキシを使用してオンプレミスのレガシ アプリケーションへのリモート アクセスの有効化 | ユーザーが Microsoft Entra アカウントでログインすることにより、オンプレミスのアプリケーションを安全にアクセスできるようにするため、Microsoft Entra アプリケーション プロキシを有効にしてレガシ アプリと統合します。 |
| 安全なハイブリッド アクセスの有効化: 既存のアプリ デリバリー コントローラーとネットワークを使用し、レガシ アプリをセキュリティで保護します (該当する場合)。 | 既存のアプリケーション デリバリー コントローラーまたはネットワークを使用してオンプレミスやクラウド レガシの認証アプリケーションを Microsoft Entra ID に接続することにより、それらの認証アプリケーションを発行して保護します。 |
| サポートされている SaaS アプリケーションをギャラリーから Microsoft Entra ID に統合し、シングル サインオンの有効化 | Microsoft Entra ID には、あらかじめ統合された数千に及ぶアプリケーションを含むギャラリーがあります。 組織で使用しているアプリケーションの一部は、Azure Portal から直接アクセスできるギャラリーにある可能性があります。 ユーザー エクスペリエンスの向上 (SSO) により、企業の SaaS アプリケーションへのアクセスをリモートで安全に提供します。 |
| SaaS アプリケーションからユーザー プロビジョニングとプロビジョニング解除の自動化 (該当する場合) | ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションのユーザー ID と役割を自動的に作成します。 自動プロビジョニングには、ユーザー ID の作成に加え、状態または役割が変化したときのユーザー ID のメンテナンスと削除も含まれ、組織のセキュリティが向上します。 |
| 条件付きアクセスの有効化 – デバイスベース | デバイスベースの条件付きアクセスを使用し、セキュリティとユーザー エクスペリエンスを向上させます。 この手順により、ユーザーはご自身のセキュリティとコンプライアンスの基準を満たすデバイスからのみアクセスできるようにします。 これらのデバイスはマネージド デバイスとも呼ばれます。 マネージド デバイスは Intune に準拠するか、Microsoft Entra ハイブリッド参加済みデバイスとして使用できます。 |
| パスワード保護の有効化 | ユーザーが脆弱で簡単に推測できるパスワードを使用できないようにします。 |
| 可能な場合、最小特権ロールの使用 | 管理者には、アクセスする必要がある領域のみに必要なアクセスを付与します。 |
| Microsoft のパスワード ガイダンスの有効化 | 設定したスケジュールでユーザーにパスワード変更を要めることをやめて、複雑さの要件を無効にすると、ユーザーは自分のパスワードを覚えやすくなって安全に維持できるようにします。 |
| 組織固有の禁止パスワードのカスタム リストの作成 | ユーザーが組織や領域で一般的に使用される単語や語句を含むパスワードを作成できないようにします。 |
| ユーザーにパスワードレス認証の方法の展開 | ユーザーに便利なパスワードレス認証の方法を提供します。 |
| ゲスト ユーザー アクセスの計画の作成 | ゲスト ユーザーが各自の職場 ID、学校 ID、ソーシャル ID を使用してアプリやサービスにログインできるようにすることにより、共同作業を行います。 |
Microsoft Entra ID P2 の顧客のガイダンス
次のテーブルでは、次のライセンス サブスクリプションの主要なアクションを強調表示することを目的としています。
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5、A5)
| 推奨される操作 | 詳細 |
|---|---|
| Microsoft Entra 多要素認証と SSPR の統合された登録エクスペリエンスを有効にし、ユーザー登録エクスペリエンスの簡略化 | Microsoft Entra 多要素認証とセルフサービス パスワード リセットの両方に対し、ユーザーが 1 つの共通エクスペリエンスで登録できるようにします。 |
| 組織の多要素認証設定の構成 | 多要素認証を使用した侵害からアカウントを確実に保護します。 |
| セルフサービス パスワード リセットを有効にする | ユーザーがデバイスやアプリケーションにログインできないとき、この機能はヘルプデスクへの問い合わせや生産性の損失を減少させます。 |
| パスワード ライトバックの実装 (ハイブリッド ID を使用している場合) | クラウドでのパスワードの変更が、オンプレミスの Windows Server Active Directory 環境に書き戻すことを許可します。 |
| Microsoft Entra ID 保護ポリシーを有効にして多要素認証の登録を実施する | Microsoft Entra 多要素認証のロールアウトを管理します。 |
| ユーザーとログイン リスク ベースの条件付きアクセス ポリシーの有効化 | 推奨されるログイン ポリシーでは、中程度のリスクのサインインをターゲットして多要素認証が求められます。 ユーザー ポリシーの場合、パスワードの変更操作を必要とする危険度の高いユーザーを対象にする必要があります。 |
| 条件付きアクセス ポリシーの作成と有効化 | 管理者権限が割り当てられているアカウントを保護するため、管理者が使用する多要素認証。 レガシ認証プロトコルに関連付けられたリスク増加のため、レガシ認証プロトコルをブロックします。 Azure リソースにアクセスするすべてのユーザーに対して多要素認証を要めることにより、Azure 管理に多要素認証を求めて特権リソースを保護します。 |
| パスワード ハッシュ同期の有効化 (ハイブリッド ID を使用している場合) | 認証に冗長性を提供してセキュリティの強化 (スマート ロックアウト、IP ロックアウト、漏洩した資格情報を検出する機能など) |
| AD FS スマート ロックアウトの有効化 (該当する場合) | 悪意のあるアクティビティによるエクストラネット アカウント ロックアウトからユーザーを保護します。 |
| Microsoft Entra スマート ロックアウトの有効化 (マネージド ID を使用している場合) | スマート ロックアウトは、ユーザーのパスワードを推測しようとしたり、ブルート フォース方法を使用して侵入しようとしたりする不正なアクターをロックアウトできるようにします。 |
| アプリケーションにエンドユーザーの同意の無効化 | 管理者の同意ワークフローにより、エンド ユーザーが会社のデータを漏洩しないように、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 Microsoft は、将来のユーザーの同意運用を無効にし、攻撃の対象となる領域を減らしてこのリスクを軽減することをお勧めしています。 |
| アプリケーション プロキシを使用してオンプレミスのレガシ アプリケーションへのリモート アクセスの有効化 | ユーザーが Microsoft Entra アカウントでログインすることにより、オンプレミスのアプリケーションを安全にアクセスできるようにするため、Microsoft Entra アプリケーション プロキシを有効にしてレガシ アプリと統合します。 |
| 安全なハイブリッド アクセスの有効化: 既存のアプリ デリバリー コントローラーとネットワークを使用し、レガシ アプリをセキュリティで保護します (該当する場合)。 | 既存のアプリケーション デリバリー コントローラーまたはネットワークを使用してオンプレミスやクラウド レガシの認証アプリケーションを Microsoft Entra ID に接続することにより、それらの認証アプリケーションを発行して保護します。 |
| サポートされている SaaS アプリケーションをギャラリーから Microsoft Entra ID に統合し、シングル サインオンの有効化 | Microsoft Entra ID には、あらかじめ統合された数千に及ぶアプリケーションを含むギャラリーがあります。 組織で使用しているアプリケーションの一部は、Azure Portal から直接アクセスできるギャラリーにある可能性があります。 ユーザー エクスペリエンスの向上 (SSO) により、企業の SaaS アプリケーションへのアクセスをリモートで安全に提供します。 |
| SaaS アプリケーションからユーザー プロビジョニングとプロビジョニング解除の自動化 (該当する場合) | ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションのユーザー ID と役割を自動的に作成します。 自動プロビジョニングには、ユーザー ID の作成に加え、状態または役割が変化したときのユーザー ID のメンテナンスと削除も含まれ、組織のセキュリティが向上します。 |
| 条件付きアクセスの有効化 – デバイスベース | デバイスベースの条件付きアクセスを使用し、セキュリティとユーザー エクスペリエンスを向上させます。 この手順により、ユーザーはご自身のセキュリティとコンプライアンスの基準を満たすデバイスからのみアクセスできるようにします。 これらのデバイスはマネージド デバイスとも呼ばれます。 マネージド デバイスは Intune に準拠するか、Microsoft Entra ハイブリッド参加済みデバイスとして使用できます。 |
| パスワード保護の有効化 | ユーザーが脆弱で簡単に推測できるパスワードを使用できないようにします。 |
| 可能な場合、最小特権ロールの使用 | 管理者には、アクセスする必要がある領域のみに必要なアクセスを付与します。 |
| Microsoft のパスワード ガイダンスの有効化 | 設定したスケジュールでユーザーにパスワード変更を要めることをやめて、複雑さの要件を無効にすると、ユーザーは自分のパスワードを覚えやすくなって安全に維持できるようにします。 |
| 組織固有の禁止パスワードのカスタム リストの作成 | ユーザーが組織や領域で一般的に使用される単語や語句を含むパスワードを作成できないようにします。 |
| ユーザーにパスワードレス認証の方法の展開 | ユーザーに便利なパスワードレス認証の方法を提供します |
| ゲスト ユーザー アクセスの計画の作成 | ゲスト ユーザーが各自の職場 ID、学校 ID、ソーシャル ID を使用してアプリやサービスにログインできるようにすることにより、共同作業を行います。 |
| Privileged Identity Management (PIM) の有効化 | 組織内の重要なリソースへのアクセスの管理、制御、監視できるようにし、管理者が必要なときに承認を受けたときのみにアクセス権が得られるようにします。 |
| PIM の Microsoft Entra ディレクトリ ロールのアクセス レビューの完了 | セキュリティとリーダーシップ チームと協力し、組織のポリシーに基づいて管理アクセスをレビューするアクセス レビュー ポリシーを作成します。 |
ゼロ トラスト
この機能は、組織が ID をゼロ トラスト アーキテクチャの 3 つの基本原則に従えるようにします。
- 明示的に検証
- 最小特権の使用
- 侵害の想定
ゼロ トラストや組織で基本原則に従うその他の方法の詳細については、「ゼロ トラスト ガイダンス センター」を参照してください。
次のステップ
- Microsoft Entra ID の個々の機能に関する展開ガイダンスの詳細については、「Microsoft Entra ID プロジェクトの展開プラン」を参照してください。
- 組織は、ID セキュリティ スコアを使用して Microsoft の他の推奨事項に対する進捗状況を管理できます。