Microsoft Entra 推奨事項とは
テナント内のすべての設定とリソースを追跡することは、大仕事になる可能性があります。 Microsoft Entra の推奨事項機能は、テナント状態の監視を支援します。そのため、人が監視する必要はありません。 これらの推奨事項は、テナントを安全で正常な状態にするのに役立ち、Microsoft Entra ID で利用できる機能の価値を最大限に高めるのにも役立ちます。
Microsoft Entra の推奨事項には、ID セキュリティ スコアに関する推奨事項が含まれるようになりました。 これらの推奨事項では、テナントのセキュリティに関する同様の分析情報を提供します。 ID セキュリティ スコアの推奨事項には、複数のセキュリティ要因に基づいて全体的なスコアとして計算されるセキュリティ スコア ポイントが含まれます。 詳しくは、「ID セキュリティ スコアとは」をご覧ください。
これらの Microsoft Entra の推奨事項のすべてで、以下のことを行うための実行可能なガイダンスに関するパーソナライズされた分析情報が提供します。
- Microsoft Entra 関連の機能のベスト プラクティスを実装する機会の特定を支援します。
- Microsoft Entra テナントの状態を改善する。
- シナリオに合わせて構成を最適化します。
この記事では、Microsoft Entra の推奨事項を使用する方法の概要について説明します。
それはどのように機能しますか?
毎日、Microsoft Entra ID ではテナントの構成を分析します。 この分析の間に、Microsoft Entra ID は、お客様のテナントの構成と、セキュリティのベスト プラクティスおよび推奨事項のデータを比較します。 お客様のテナントに適用できることを示すフラグが設定されている推奨事項は、Microsoft Entra の ID の概要領域にある [推奨事項] セクションに表示されます。 推奨事項は優先度に従って一覧表示されるため、最初に着目すべき場所をすばやく特定できます。
![[推奨事項] オプションが強調表示されているテナントの [概要] ページのスクリーンショット。](media/overview-recommendations/recommendations-overview.png)
ページの先頭に表示される ID セキュリティ スコアは、テナントの正常性を数値で表したものです。 ID セキュリティ スコアに適用される推奨事項には、ページの下部にあるテーブルで個別のスコアが示されます。 これらのスコアを合計したものが、ID セキュリティ スコアになります。 詳しくは、「ID セキュリティ スコアとは」をご覧ください。
各推奨事項には、説明、推奨事項に対処する値の概要、およびステップ バイ ステップのアクション プランが含まれています。 該当する場合は、推奨事項に関連付けられている影響を受けるリソースが一覧表示されるため、影響を受けるそれぞれの領域を解決できます。 推奨事項にリソースが関連付けられていない場合、テナント レベルが影響を受けるリソースの種類になり、ステップ バイ ステップのアクション プランは、特定のリソースだけでなく、テナント全体に影響します。
利用できる推奨事項とライセンスの要件
次の表の推奨事項は、現在、パブリック プレビューまたは一般提供で利用できます。 パブリック プレビューでの推奨事項のライセンス要件は変わる場合があります。 表には、影響を受けるリソースと、使用可能なドキュメントへのリンクが示されています。
| 推奨事項 | 影響を受けるリソース | 必要なライセンス | 可用性 |
|---|---|---|---|
| 条件付きアクセスで Microsoft Purview 適応型保護とインサイダー リスク条件を有効にする | ユーザー | Microsoft Entra プレミアム P2 | 一般公開 |
| ユーザーごとの MFA を条件付きアクセス MFA に変換する | ユーザー | すべてのライセンス | 一般公開 |
| AD FS から Microsoft Entra ID にアプリケーションを移行する | アプリケーション | すべてのライセンス | 一般公開 |
| アプリとサービス プリンシパルを Azure AD Graph から Microsoft Graph に移行する | アプリケーション | すべてのライセンス | パブリック プレビュー |
| ADAL から MSAL への移行 | アプリケーション | すべてのライセンス | 一般公開 |
| MFA サーバーから Microsoft Entra MFA に移行する | テナント レベル | すべてのライセンス | 一般公開 |
| Microsoft Authenticator に移行する | ユーザー | すべてのライセンス | プレビュー |
| 既知のデバイスからの MFA プロンプトを最小限に抑える | ユーザー | すべてのライセンス | 一般公開 |
| 未使用のアプリケーションを削除する | アプリケーション | Microsoft Entra ワークロード ID Premium | パブリック プレビュー |
| アプリケーションから未使用の認証情報を削除する | アプリケーション | Microsoft Entra ワークロード ID Premium | パブリック プレビュー |
| 期限切れ間近のアプリケーションの資格情報を更新する | アプリケーション | Microsoft Entra ワークロード ID Premium | パブリック プレビュー |
| 期限切れ間近のサービス プリンシパルの資格情報を更新する | アプリケーション | Microsoft Entra ワークロード ID Premium | パブリック プレビュー |
Microsoft Entra にはテナントに適用される推奨事項のみが表示されるため、サポートされているすべての推奨事項が表示されない場合があります。
Microsoft Entra の推奨事項は Azure Advisor に関連していますか?
Microsoft Entra の推奨事項機能は、Azure Advisor の Microsoft Entra 固有の実装であり、Azure の展開を最適化するためのベスト プラクティスに従うのに役立つ、パーソナライズされたクラウド コンサルタントです。 Azure Advisor は、リソースの構成と使用データを分析し、Azure リソースの費用対効果、パフォーマンス、信頼性、およびセキュリティを向上させるのに役立つソリューションを推奨します。
Microsoft Entra の推奨事項では、同様のデータを使用して、Microsoft Entra テナント用の Microsoft のベスト プラクティスのロールアウトと管理をサポートし、テナントを安全で正常な状態に保ちます。 Microsoft Entra の推奨事項機能は、テナントのセキュリティ、正常性、使用状況に関する包括的な視点を提供します。
電子メール通知 (プレビュー)
Microsoft Entra の推奨事項では、新しい推奨事項が生成されたときに電子メールによる通知が生成されるようになりました。 この新しいプレビュー機能は、推奨事項ごとに事前に定義されたロールのセットに電子メールを送信します。 たとえば、テナントのアプリケーションの正常性に関連付けられている推奨事項は、アプリケーション管理者ロールを持つユーザーに送信されます。
次の表に、推奨事項ごとに電子メールによる通知を受信する Microsoft 組み込みロールを示します。
| 推奨事項のタイトル | ターゲット ロール |
|---|---|
| AAD Connect の非推奨 | ハイブリッド ID の管理者 |
| ユーザーごとの MFA を条件付きアクセス MFA に変換する | セキュリティ管理者 |
| 複数の全体管理者を指定する | 全体管理者 |
| 信頼性の低いアプリケーションへの同意をユーザーに許可しない | 全体管理者 |
| パスワードを有効期限切れにしない | 全体管理者 |
| パスワード ハッシュ同期を有効にする(ハイブリッド型を使用している場合) | ハイブリッド ID の管理者 |
| レガシ認証をブロックするポリシーを有効にする | 条件付きアクセス管理者、セキュリティ管理者 |
| セルフサービス パスワード リセットを有効にする | 認証ポリシー管理者 |
| すべてのユーザーが多要素認証を完了できるようにする | 条件付きアクセス管理者、セキュリティ管理者 |
| アプリケーションでの有効期間が長い認証情報 | 全体管理者 |
| 廃止された Azure AD Graph API から Microsoft Graph にアプリケーションを移行する | アプリケーション管理者 |
| AD FS から Microsoft Entra ID にアプリケーションを移行する | アプリケーション管理者、認証管理者ハイブリッド ID 管理者 |
| レガシ MFA と SSPR ポリシーから認証方法を移行する | 全体管理者 |
| ADAL から MSAL への移行 | アプリケーション管理者 |
| MFA サーバーから Microsoft Entra MFA に移行する | 全体管理者 |
| サービス プリンシパルを、廃止する Azure AD Graph API から Microsoft Graph に移行する | アプリケーション管理者 |
| MS Graph のバージョン管理 | 全体管理者 |
| テナント MFA の最適化 | セキュリティ管理者 |
| サインイン リスク ポリシーを使用してすべてのユーザーを保護する | 条件付きアクセス管理者、セキュリティ管理者 |
| ユーザー リスク ポリシーを使用してすべてのユーザーを保護する | 条件付きアクセス管理者、セキュリティ管理者 |
| 条件付きアクセスでインサイダー リスクを使用してテナントを保護する | 条件付きアクセス管理者、セキュリティ管理者 |
| アプリケーションの特権を超えるアクセス許可を削除する | 全体管理者 |
| 未使用のアプリケーションを削除する | アプリケーション管理者 |
| アプリケーションから未使用の認証情報を削除する | アプリケーション管理者 |
| 期限切れ間近のアプリケーションの資格情報を更新する | アプリケーション管理者 |
| 期限切れ間近のサービス プリンシパルの認証情報を更新する | アプリケーション管理者 |
| 管理者ロールに対して MFA を必須にする | 条件付きアクセス管理者、セキュリティ管理者 |
| アクセス レビュー - 非アクティブなユーザーのレビュー | ID ガバナンス管理者 |
| 自動ユーザーとグループのプロビジョニングを使用してアプリをセキュリティで保護し、管理する | アプリケーション管理者、IT ガバナンス管理者 |
| 最小限の特権管理ロールを使用する | 特権ロール管理者 |
| アプリの発行元を確認する | 全体管理者 |
組織が Privileged Identity Management (PIM) を使用している場合、受信者は、電子メールによる通知を受信するために指定されたロールに昇格する必要があります。 ロールにアクティブに割り当てられているユーザーがいない場合、電子メールは送信されません。 このため、推奨事項を定期的に確認して、新しい推奨事項を確実に把握することをお勧めします。