Microsoft Entra 多要素認証とは

完了

クラウド資産を保護することは、セキュリティ グループの主要な目標の 1 つです。 承認されていないユーザーがシステムにアクセスする主な方法の 1 つは、有効なユーザー名とパスワードを取得することです。 Azure は、次のような Microsoft Entra ID のいくつかの機能を使って、このようなリスクを軽減するのに役立ちます。

  • パスワードの複雑さのルール:これらのルールによって、推測が難しいパスワードの作成をユーザーに強制します。

  • パスワードの有効期限のルール:定期的にパスワードを変更することと、前に使ったパスワードの使用を避けることをユーザーに強制できます。

  • セルフサービス パスワード リセット (SSPR):この方法により、パスワードを忘れたとき、IT 部署に連絡しなくても、ユーザーはセルフサービスで自分のパスワードをリセットできます。

  • Microsoft Entra ID Protection:組織の ID を保護する目的で、危険な動作に自動的に対処するリスクベースのポリシーを構成できます。 これらのポリシーによって、動作を自動的にブロックしたり、パスワードの変更を要求するなど、修復を開始したりできます。

  • Microsoft Entra パスワード保護:よく使用され、侵害されたパスワードは、グローバルな禁止パスワード リストを使ってブロックできます。

  • Microsoft Entra スマート ロックアウト:スマート ロックアウトは、ユーザーのパスワードを推測したり、ブルート フォース方法を使って侵入したりしようとする悪意のあるハッカーの締め出しに役立ちます。 有効なユーザーからのサインインを認識し、悪意のあるハッカーやその他の不明なソースのサインインとは異なる方法で処理します。

  • Microsoft Entra アプリケーション プロキシ:セキュリティで強化したリモート アクセスをオンプレミスの Web アプリケーションにプロビジョニングできます。

  • シングル サインオン (SSO):アプリケーションに対する SSO アクセスを有効にできます (何千もの事前統合された SaaS アプリを含む)。

  • Microsoft Entra Connect:ハイブリッドのエンタープライズ全体の各ユーザーに個別の ID を作成して管理し、ユーザー、グループ、デバイスが同期された状態を維持します。

これらの方法はいずれも、誰かがパスワードを "推測" したり、ブルート フォースを実行したりすることを抑止するオプションとして優れています。 しかし、ソーシャル エンジニアリングやセキュリティに対する不適切な習慣 (キーボードの下に付箋でパスワードを貼っておくなど) によって、パスワードが入手されることがあります。 そのような場合、これらの機能で侵入を阻止することはできません。 そこで、セキュリティ管理者は "Microsoft Entra 多要素認証" を使用する必要があります。

Microsoft Entra 多要素認証とは

Microsoft Entra 多要素認証 (MFA) を使用すると、完全に認証するために 2 つ以上の要素が必須となり、ID のセキュリティが強化されます。

これらの要素は、次の 3 つのカテゴリに分類されます。

  • ユーザーが知っていることは、パスワードや、セキュリティの質問に対する答えなどです。
  • ユーザーが持っているものは、通知を受け取るモバイル アプリや、トークンを生成するデバイスなどです。
  • ユーザー自身は、通常、多くのモバイル デバイスで使われている指紋や顔のスキャンなどの生体認証です。

MFA の構成要素を示す概念図。

Microsoft Entra 多要素認証の使用は、パスワード露出の影響を限定することで、ID セキュリティを強化します。 悪意のあるハッカーが完全な認証を行うためには、ユーザーの電話、指紋、顔などの 2 番目の要素も必要になります。 多要素認証は、承認されていないサインインを防ぐ最も効果的な方法であるため、常に有効にしておくべきです。

Microsoft Entra 多要素認証は、Microsoft の 2 段階認証ソリューションです。 Microsoft Entra 多要素認証は、シンプルなサインイン プロセスを好むユーザーの要求に応えながら、データとアプリケーションへのアクセスを保護するのに役立ちます。 電話、テキスト メッセージ、モバイル アプリによる確認など、一連の確認方法を通じて強力な認証を行うことができます。

Microsoft Entra 多要素認証のセキュリティの鍵は、その階層化されたアプローチにあります。 多要素認証を要求すると、悪意のあるハッカーにとって大きな障害になります。 悪意のあるハッカーは、ユーザーのパスワードを知ることができても、信頼済みデバイスも手に入れなければ何もできません。 ユーザーがデバイスを紛失した場合、そのデバイスを見つけた人は、ユーザーのパスワードがなければそれを使用できません。

多要素認証を取得する方法

多要素認証は、次のオファリングの一部として提供されます。

  • Microsoft Entra ID P1 または P2 または Microsoft 365 Business:どちらのオファリングでも、多要素認証を求めるためにセキュリティの既定値群を使用する Microsoft Entra 多要素認証がサポートされます。

  • Microsoft Entra ID Free またはスタンドアロンの Microsoft 365 ライセンス:どちらも、ユーザーと管理者に多要素認証を求めるセキュリティの既定値群を使用します。

  • Microsoft Entra 全体管理者:全体管理者アカウントを保護する手段として、Microsoft Entra 多要素認証機能のサブセットを使用できます。