Microsoft 365 および Entra ID セキュリティ
Microsoft 365 テナントと基盤となる認証システムの Entra ID (Azure AD) には、さまざまなレベルのセキュリティを実装できるように、さまざまな設定オプションがあります。これらのオプションの多くは、デフォルトでは有効になっていません。このドキュメントでは、利用可能なすべてのセキュリティオプションについて説明しているわけではなかったり、デバイス管理やデータ流出防止 (DLP) などの他のテクノロジーについて説明しているわけではありませんが、ID 保護を強化し、ビジネスメール詐欺 (BEC) の可能性を減らすための推奨設定についてお客様に説明しています。
ガイダンスは、推奨設定とオプション設定の 2つのセクションで構成されています。すべてのお客様に推奨設定を実装することをお勧めします。また、オプションの設定を検討して調査し、環境に適した設定を適用することをお勧めします。
検討しているお客様環境の変更は、Microsoft の適切なドキュメントを参照した後で、組織内で確認およびテストする必要があります。組織全体に適用する前に、テストアカウント、パイロットユーザー、小規模な部門を使用して、バッチで変更を行うことをお勧めします。ロックアウトされないようにするために、下記に記載されているように、緊急アクセスアカウントを使用できることを確認してください。
ライセンスガイダンス
使用されているライセンスに関係なく、以下の設定項目一部はすべての M365 テナントで使用できます。ただし、ほとんどの場合、テナントで使用可能な 'Entra ID P1' ライセンスが必要です。また、'Entra ID P2' ライセンスが必要な場合もあります。'Entra ID P1' は M365 Business Premium E3/A3 バンドルに含まれており、'Entra ID P2' ライセンスは M365 E5/A5 バンドルで利用できます。
少なくとも 'Entra ID P1' ライセンスを含むライセンスを使用していない場合は、Microsoft の 'セキュリティの既定値群' を使用することを強くお勧めします。これは、マイクロソフトによって制御される基本的なセキュリティ ポリシー セットです。Microsoft Entra ID のセキュリティの既定値群を参照してください。
マイクロソフトのアラートを Sophos MDR サービスに統合するときには、少なくとも「Entra ID P1」ライセンスを使用してください。ただし、このライセンスでは、マイクロソフトによって生成されるアラートの量が増加するため、「Entra ID P2」を使用することをお勧めします。これらのアラートの例については、次の記事を参照してください。
ライセンスの詳細については、マイクロソフトのライセンス担当者に問い合わせることをお勧めします。
推奨される構成項目
-
最小権限の原則を適用する
個別の管理者アカウントと RBAC ロールを使用し、管理者権限を制限します。職務に必要なロールのみを付与します。マイクロソフトでは、最大 5つのグローバル管理者アカウントを推奨しています。ドメインまたはサービス全体で管理者認証情報を再利用しないでください。
Impact (影響): ユーザーには、自分の職務で許可されている領域にのみアクセスを許可してください。管理者は別のアカウントを使用してください。
場所: Entra ID > ロールと管理者
参考:
-
認証方式の設定
この設定では、ユーザーが環境にアクセスするために使用できる認証方法を構成します。少なくとも Microsoft Authenticator、メールのワンタイムパスコード、および一時アクセスパスを設定し、オプションとして電話への発信を無効にすることをお勧めします。
場所: Entra ID > 保護とセキュリティ > 認証方法 > ポリシー
参考:
-
「セキュリティ既定値群」を条件付きアクセスポリシーに置き換える
「Entra ID P1」以降のライセンスを使用する場合は、カスタムの条件付きアクセスポリシーを作成してセキュリティを強化できます。このようなポリシーを作成するには、「セキュリティ既定値群」を無効にし、マイクロソフトテンプレートから条件付きアクセスポリシーを作成して、多要素認証の適用などを行う必要があります。このようなポリシーを作成するときには、「緊急アクセス」アカウントまたはグループを除外してください。
場所:
- Entra ID > 概要> プロパティ
- Entra ID > 保護とセキュリティ > 条件付きアクセス
参考:
-
条件付きアクセステンプレート:
-
条件付きアクセスポリシーのガイダンス:
-
デバイスの登録または参加に MFA を要求する
これにより、新しい Windows デバイスを Entra ID に参加させようとするユーザーは、多要素認証を実行する必要があります。
場所: Entra ID > 保護とセキュリティ > 条件付きアクセス
- 名前: デバイスの登録または参加に MFA を要求します。
- ユーザー: すべてのユーザーは、必ず、「緊急アクセス」アカウントまたはグループを除外してください。
- クラウドアプリまたはアクション:ユーザーアクション > デバイスの登録または参加。
- 条件:なし。
- アクセス制御 > 許可:多要素認証が必要です。
-
承認された国からのサインインのみを許可する
ユーザーが環境にサインインできる国の数を制限することで、アカウント侵害のリスクを軽減することをお勧めします。海外に出張する従業員がいない場合は、組織内のすべてのユーザーが母国以外の環境にアクセスできないようにします。出張するユーザーがいる場合は、これらのポリシーをグループごとに実装できます。たとえば、すべての国からのアクセスを許可したり、特定のユーザーグループに国のサブセットを許可したり、ユーザーを地理的な地域に分割して、地域ごとにアクセスを制限したりできます。
これを実現するには、条件付きアクセスポリシーを使用します。「許可された国」などの名前付きの場所リストを作成し、アクセスを許可したい国を追加します。次に、条件付きアクセスポリシーを作成して、「許可された国」および「緊急ユーザーまたはグループ」を除くすべてのクラウドアプリのすべてのユーザーのアクセスをブロックします。
警告
このポリシーは、すべてのユーザーに適用する前に、十分に注意してテストしてください。
場所: Entra ID > 保護とセキュリティ > 条件付きアクセス
-
高リスクのユーザーのブロック
M365 ユーザーリスクレベルは、Entra ID のユーザーアカウントのリスクを判断するのに役立つ機能です。これは、Entra ID Identity Protection の一部であり、IP アドレス、デバイスの状態、不審なアクティビティ、既知の侵害された認証情報など、ユーザーアカウントからのさまざまなシグナルを分析することによって行われます。
ユーザーリスクレベルは、次の 3つのカテゴリに分類されます。
- リスク - 低: 低リスクのユーザーアカウントは正当なアカウントと見なされます。
- リスク - 中: 中リスクのユーザーアカウントは正当なアカウントであると考えられますが、脅威主体によって侵害されたり標的にされたりする可能性が高くなります。
- リスク - 高: 高リスクのユーザーアカウントは、侵害されたと見なされます。
リスクが高いと考えられるユーザーアカウントをブロックし、中リスクだと考えられるユーザーには安全なパスワード変更を要求することをお勧めします。
場所: Entra ID > 保護とセキュリティ > 条件付きアクセス
補足:
-
高リスクのサインインをブロックする
M365 サインインリスクレベルは、各 Entra ID へのサインインの試行のリスクを判断するのに役立つ機能です。これは、Entra ID Identity Protection の一部であり、サインインプロセスの一環として複数のシグナルを分析してリスクレベルを決定します。
サインインリスクレベルは、次の3つのカテゴリに分類されます。
- リスク - 低: 低リスクのサインイン試行は、正当な試行と見なされます。
- リスク - 中: 中リスクのサインイン試行は正当な試行であると考えられますが、脅威主体によって侵害されたり標的にされたりする可能性が高くなります。
- リスク - 高: 高リスクのサインイン試行は、侵害されたと見なされます。
高リスクと見なされるサインイン試行をブロックし、中リスクのサインインでは MFA を要求することをお勧めします。
場所: Entra ID > 保護とセキュリティ > 条件付きアクセス
補足:
オプションの構成項目
-
緊急アクセスアカウント
マイクロソフトでは、条件付きアクセスポリシーから除外される緊急アクセス管理者アカウントを推奨しています。これらのアカウントは、「グローバル管理者」ロールが割り当てられ、非常に長く複雑なパスワードを使用して保護する必要があります。パスワードは安全なパスワード Vault に保存され、緊急時にのみ使用されます。
補足:
-
パスワード有効期限ポリシーの設定
パスワードの有効期限が、企業のポリシーおよびコンプライアンス要件と一致していることを確認します。
注
マイクロソフトは、MFA が組織全体で施行されている場合は、パスワードを「有効期限なし」に設定することを推奨しています。
場所: Microsoft 365 管理センター > 設定> セキュリティとプライバシー
-
アプリケーションの同意と権限の管理
既定では、すべてのユーザーがサードパーティアプリケーションとアドインに権限を付与できます。これは高いリスクにつながる可能性があります。攻撃者が悪意のあるアプリを作成し、ユーザーにフィッシングメールを送信して、ユーザーが意図せず、誘導され、自分のメールボックスやファイルへのアクセスを提供してしまう可能性があるためです。これを信頼できる発行元に限定するか、またはブロックし、管理者の同意を要求することをお勧めします。
場所: Entra ID > アプリケーション > エンタープライズアプリケーション > 同意と権限
補足:
-
ゲストに対して MFA を要求する
侵害されたサードパーティアカウントからデータにアクセスする可能性を減らすために、環境内のリソースへのアクセスを招待されたゲストには MFA を要求することをお勧めします。これは、条件付きアクセスポリシーテンプレートを使用して導入できます。
場所: Entra ID > 保護とセキュリティ > 条件付きアクセス