方法:条件付きアクセスを使用して Azure AD へのレガシ認証をブロックするHow to: Block legacy authentication to Azure AD with Conditional Access

指定したユーザーがお使いのクラウド アプリに簡単にアクセスできるように、Azure Active Directory (Azure AD) ではレガシ認証を含め、幅広い認証プロトコルをサポートしています。To give your users easy access to your cloud apps, Azure Active Directory (Azure AD) supports a broad variety of authentication protocols including legacy authentication. ただし、従来のプロトコルでは、多要素認証 (MFA) をサポートしていません。However, legacy protocols don't support multi-factor authentication (MFA). MFA は多くの環境で、なりすましに対処するための一般的な要件になっています。MFA is in many environments a common requirement to address identity theft.

Microsoft の ID セキュリティの担当部長である Alex Weinert は、2020 年 3 月 12 日のブログ投稿の「組織内のレガシ認証をブロックする新しいツール」で、組織がレガシ認証をブロックする理由と、このタスクを実現するために Microsoft が提供する追加のツールについて強調しています。Alex Weinert, Director of Identity Security at Microsoft, in his March 12, 2020 blog post New tools to block legacy authentication in your organization emphasizes why organizations should block legacy authentication and what additional tools Microsoft provides to accomplish this task:

MFA を有効にするには、レガシ認証をブロックする必要もあります。For MFA to be effective, you also need to block legacy authentication. これは、POP、SMTP、IMAP、MAPI などの従来の認証プロトコルでは、MFA を強制することができないため、敵対者による組織の攻撃において優先するエントリ ポイントにするためです...This is because legacy authentication protocols like POP, SMTP, IMAP, and MAPI can't enforce MFA, making them preferred entry points for adversaries attacking your organization...

...Azure Active Directory (Azure AD) トラフィックの分析によるレガシ認証の数は著しいです。...The numbers on legacy authentication from an analysis of Azure Active Directory (Azure AD) traffic are stark:

  • 99% を超えるパスワード スプレー攻撃がレガシ認証プロトコルを使用しますMore than 99 percent of password spray attacks use legacy authentication protocols
  • 97% を超える資格情報を含めた攻撃がレガシ認証を使用しますMore than 97 percent of credential stuffing attacks use legacy authentication
  • レガシ認証を無効にしている組織の Azure AD アカウントは、レガシ認証が有効になっている場合よりも侵害が 67% 低下しますAzure AD accounts in organizations that have disabled legacy authentication experience 67 percent fewer compromises than those where legacy authentication is enabled

お使いの環境で、テナントの保護を向上させるためにレガシ認証をブロックする準備ができている場合は、条件付きアクセスによってこの目標を達成できます。If your environment is ready to block legacy authentication to improve your tenant's protection, you can accomplish this goal with Conditional Access. この記事では、テナントのレガシ認証をブロックする条件付きアクセス ポリシーを構成する方法について説明します。This article explains how you can configure Conditional Access policies that block legacy authentication for your tenant.

前提条件Prerequisites

この記事では、次の内容を熟知していることを前提としています。This article assumes that you are familiar with:

シナリオの説明Scenario description

Azure AD では、レガシ認証を含め、最も広く使用されている認証および承認のプロトコルを複数サポートしています。Azure AD supports several of the most widely used authentication and authorization protocols including legacy authentication. レガシ認証とは、基本認証を使用するプロトコルのことです。Legacy authentication refers to protocols that use basic authentication. 通常、これらのプロトコルでは、第 2 要素の認証はどれも適用できません。Typically, these protocols can't enforce any type of second factor authentication. レガシ認証に基づくアプリの例を次に示します。Examples for apps that are based on legacy authentication are:

  • 従来の Microsoft Office アプリOlder Microsoft Office apps
  • POP、IMAP、SMTP などの電子メール プロトコルを使用するアプリApps using mail protocols like POP, IMAP, and SMTP

最近は、単一要素認証 (たとえば、ユーザー名とパスワード) では不十分です。Single factor authentication (for example, username and password) is not enough these days. パスワードは、簡単に推測できるうえに、適切なパスワードの選定は難しいため、不十分です。Passwords are bad as they are easy to guess and we (humans) are bad at choosing good passwords. また、パスワードは、フィッシングやパスワード スプレーなどの幅広い攻撃に対しては脆弱です。Passwords are also vulnerable to a variety of attacks like phishing and password spray. パスワードの脅威から保護できる最も簡単な方法の 1 つは、MFA を実装することです。One of the easiest things you can do to protect against password threats is to implement MFA. MFA を使用すれば、攻撃者がユーザーのパスワードを入手したとしても、認証に成功してデータにアクセスするには、パスワードだけでは不十分です。With MFA, even if an attacker gets in possession of a user's password, the password alone is not sufficient to successfully authenticate and access the data.

レガシ認証を使用しているアプリからはテナントのリソースにアクセスできないようにするには、どうしたらいいでしょうか。How can you prevent apps using legacy authentication from accessing your tenant's resources? 条件付きアクセス ポリシーを使用して、それらのアプリをブロックすることをお勧めします。The recommendation is to just block them with a Conditional Access policy. 必要に応じて、特定のユーザーと特定のネットワークの場所だけに、レガシ認証に基づいたアプリの使用を許可します。If necessary, you allow only certain users and specific network locations to use apps that are based on legacy authentication.

条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。Conditional Access policies are enforced after the first-factor authentication has been completed. つまり、条件付きアクセスは、サービス拒否 (DoS) 攻撃などのシナリオの防御の最前線を意図したものではありませんが、これらのイベントのシグナル (サインインのリスク レベル、要求の場所など) を利用してアクセスを判別できます。Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

実装Implementation

このセクションでは、レガシ認証をブロックするために条件付きアクセス ポリシーを構成する方法について説明します。This section explains how to configure a Conditional Access policy to block legacy authentication.

レガシ認証プロトコルLegacy authentication protocols

次のオプションは、レガシ認証プロトコルと見なされます。The following options are considered legacy authentication protocols

  • 認証済み SMTP - 電子メール メッセージを送信するために POP および IMAP クライアントで使用されます。Authenticated SMTP - Used by POP and IMAP client's to send email messages.
  • 自動検出 - Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
  • Exchange Online PowerShell - リモート PowerShell を使用して Exchange Online に接続するために使用されます。Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. 手順については、「多要素認証を使用して Exchange Online PowerShell に接続する」を参照してください。For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
  • Exchange Web サービス (EWS) - Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
  • IMAP4 - IMAP 電子メール クライアントで使用されます。IMAP4 - Used by IMAP email clients.
  • MAPI over HTTP (MAPI/HTTP) - Outlook 2010 以降で使用されます。MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
  • オフライン アドレス帳 (OAB) - Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
  • Outlook Anywhere (RPC over HTTP) - Outlook 2016 以前で使用されます。Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
  • Outlook サービス - Windows 10 用のメール/カレンダー アプリで使用されます。Outlook Service - Used by the Mail and Calendar app for Windows 10.
  • POP3 - POP 電子メール クライアントで使用されます。POP3 - Used by POP email clients.
  • レポート Web サービス - Exchange Online でレポート データを取得するために使用されます。Reporting Web Services - Used to retrieve report data in Exchange Online.
  • その他のクライアント - レガシ認証を利用していると識別された他のプロトコル。Other clients - Other protocols identified as utilizing legacy authentication.

これらの認証プロトコルとサービスの詳細については、Azure Active Directory ポータルのサインイン アクティビティ レポートに関するページを参照してください。For more information about these authentication protocols and services, see Sign-in activity reports in the Azure Active Directory portal.

レガシ認証の使用を識別するIdentify legacy authentication use

ディレクトリでレガシ認証をブロックするには、その前にまず、レガシ認証を使用するアプリをユーザーが保有しているかどうかや、それがディレクトリ全体にどのような影響を与えるかを把握する必要があります。Before you can block legacy authentication in your directory, you need to first understand if your users have apps that use legacy authentication and how it affects your overall directory. Azure AD のサインイン ログを使用すると、レガシ認証を使用しているかどうかを把握できます。Azure AD sign-in logs can be used to understand if you're using legacy authentication.

  1. [Azure portal] > [Azure Active Directory] > [サインイン] に移動します。Navigate to the Azure portal > Azure Active Directory > Sign-ins.
  2. [Client App] (クライアント アプリ) 列が表示されていない場合は、 [列] > [Client App] (クライアント アプリ) をクリックしてその列を追加します。Add the Client App column if it is not shown by clicking on Columns > Client App.
  3. [フィルターの追加] > [クライアント アプリ] > と進み、すべてのレガシ認証プロトコルを選択し、 [適用] をクリックします。Add filters > Client App > select all of the legacy authentication protocols, and click Apply.

フィルター処理によって、レガシ認証プロトコルによって行われたサインイン試行のみが表示されます。Filtering will only show you sign-in attempts that were made by legacy authentication protocols. 個々のサインイン試行をクリックすると、追加の詳細が表示されます。Clicking on each individual sign-in attempt will show you additional details. [Basic Info] (基本情報) タブの下の [Client App] (クライアント アプリ) フィールドには、どのレガシ認証プロトコルが使用されたかが表示されます。The Client App field under the Basic Info tab will indicate which legacy authentication protocol was used.

これらのログは、どのユーザーがまだレガシ認証に依存しているか、およびどのアプリケーションがレガシ プロトコルを使用して認証要求を行っているかを示しています。These logs will indicate which users are still depending on legacy authentication and which applications are using legacy protocols to make authentication requests. これらのログに表示されず、レガシ認証を使用していないことが確認されたユーザーに対してのみ、条件付きアクセス ポリシーを実装します。For users that do not appear in these logs and are confirmed to not be using legacy authentication, implement a Conditional Access policy for these users only.

レガシ認証をブロックするBlock legacy authentication

条件付きアクセス ポリシーでは、リソースへのアクセスに使用するクライアント アプリに関連付ける条件を設定できます。In a Conditional Access policy, you can set a condition that is tied to the client apps that are used to access your resources. クライアント アプリの条件を使用すると、 [モバイル アプリとデスクトップ クライアント][Exchange ActiveSync クライアント][その他のクライアント] を選択して、レガシ認証を使用しているアプリに対象範囲を絞り込むことができます。The client apps condition enables you to narrow down the scope to apps using legacy authentication by selecting Exchange ActiveSync clients and Other clients under Mobile apps and desktop clients.

その他のクライアント

これらのアプリへのアクセスをブロックするには、 [アクセスのブロック] を選択する必要があります。To block access for these apps, you need to select Block access.

アクセスのブロック

ユーザーとクラウド アプリを選択するSelect users and cloud apps

組織へのレガシ認証をブロックする場合、恐らくは、以下を選択してこれを行うことを検討するでしょう。If you want to block legacy authentication for your organization, you probably think that you can accomplish this by selecting:

  • すべてのユーザーAll users
  • すべてのクラウド アプリAll cloud apps
  • アクセスのブロックBlock access

代入

この構成は、条件付きアクセス ポリシーのベスト プラクティスに違反するので、Azure には、このようなポリシーを作成しないための安全機能が用意されています。Azure has a safety feature that prevents you from creating a policy like this because this configuration violates the best practices for Conditional Access policies.

サポートされていないポリシー構成

"すべてのユーザーとすべてのクラウド アプリのブロック" では、組織全体をテナントへのサインオンからブロックする可能性があるため、安全機能が必要です。The safety feature is necessary because block all users and all cloud apps has the potential to block your entire organization from signing on to your tenant. ベスト プラクティスの最小要件を満たすには、少なくとも 1 人のユーザーを除外する必要があります。You must exclude at least one user to satisfy the minimal best practice requirement. ディレクトリ ロールを除外することもできます。You could also exclude a directory role.

サポートされていないポリシー構成

1 人のユーザーをポリシーから除外することで、この安全機能を利用できます。You can satisfy this safety feature by excluding one user from your policy. 理想的には、数個の Azure AD の緊急アクセス管理アカウントを定義し、それらのアカウントをポリシーから除外します。Ideally, you should define a few emergency-access administrative accounts in Azure AD and exclude them from your policy.

ポリシーを有効にしてレガシ認証をブロックするときにレポートのみのモードを使用すると、ポリシーの影響を監視する機会が組織に与えられます。Using report-only mode when enabling your policy to block legacy authentication provides your organization an opportunity to monitor what the impact of the policy would be.

ポリシーのデプロイPolicy deployment

ポリシーを運用環境に導入する前に、次の点に注意します。Before you put your policy into production, take care of:

  • サービス アカウント -サービス アカウントとして使用されるユーザー アカウント、または会議室の電話などのデバイスによって使用されるユーザー アカウントを特定します。Service accounts - Identify user accounts that are used as service accounts or by devices, like conference room phones. これらのアカウントに必ず強固なパスワードを設定して、除外されるグループに追加します。Make sure these accounts have strong passwords and add them to an excluded group.
  • サインイン レポート - サインイン レポートを確認して、その他のクライアントのトラフィックを検索します。Sign-in reports - Review the sign-in report and look for other client traffic. 最上位の使用率を特定して、なぜそれが使用されているのかを調査します。Identify top usage and investigate why it is in use. 通常、トラフィックは、最新の認証を使用していない従来の Office クライアント、またはサードパーティの電子メール アプリによって生成されています。Usually, the traffic is generated by older Office clients that do not use modern authentication, or some third-party mail apps. これらのアプリからの使用がなくなるように、計画を立てます。あるいは、影響が少ない場合は、これらのアプリを今後は使用できないことをユーザーに通知します。Make a plan to move usage away from these apps, or if the impact is low, notify your users that they can't use these apps anymore.

詳細については、「新しいポリシーはどのように展開する必要がありますか。」を参照してください。For more information, see How should you deploy a new policy?.

知っておくべきことWhat you should know

その他のクライアントを使用しているアクセスをブロックすると、基本認証を使用している Exchange Online PowerShell および Dynamics 365 もブロックされます。Blocking access using Other clients also blocks Exchange Online PowerShell and Dynamics 365 using basic auth.

その他のクライアントを対象とするポリシーを構成すると、SPConnect などの特定のクライアントから組織全体がブロックされます。Configuring a policy for Other clients blocks the entire organization from certain clients like SPConnect. このブロックは、旧バージョンのクライアントが想定していない方法で認証されるために発生します。This block happens because older clients authenticate in unexpected ways. この問題は、古い Office クライアントなどの重要な Office アプリケーションには適用されません。The issue doesn't apply to major Office applications like the older Office clients.

ポリシーが有効になるまで、最大で 24 時間かかる可能性があります。It can take up to 24 hours for the policy to go into effect.

他のクライアント条件には、利用可能なすべての制御の許可を選択できます。ただし、エンドユーザーのエクスペリエンスは常に同じ、つまり、アクセスがブロックされます。You can select all available grant controls for the Other clients condition; however, the end-user experience is always the same - blocked access.

他のクライアント条件を使用してレガシ認証をブロックする場合は、デバイスのプラットフォームと場所の条件も設定できます。If you block legacy authentication using the Other clients condition, you can also set the device platform and location condition. たとえば、モバイル デバイスに対する従来の認証をブロックすることだけが必要な場合は、以下を選択してデバイス プラットフォームの条件を設定します。For example, if you only want to block legacy authentication for mobile devices, set the device platforms condition by selecting:

  • AndroidAndroid
  • iOSiOS
  • Windows PhoneWindows Phone

サポートされていないポリシー構成

次のステップNext steps