ベースライン ポリシーとは?What are baseline policies?

ベースライン ポリシーは、多くの一般的な攻撃から組織を保護するのに役立つ一連の定義済みポリシーです。Baseline policies are a set of predefined  policies that help protect organizations against many common attacks. これらの一般的な攻撃としては、パスワード スプレー、リプレイ、およびフィッシングなどが考えられます。These common attacks can include password spray, replay, and phishing. ベースライン ポリシーは、Azure AD のすべてのエディションで使用できます。Baseline policies are available in all editions of Azure AD. この数年間で ID ベースの攻撃が増えているため、Microsoft はこれらのベースライン保護ポリシーをすべてのユーザーが利用できるようにしています。Microsoft is making these baseline protection policies available to everyone because identity-based attacks have been on the rise over the last few years. これらの 4 つのポリシーの目標は、すべての組織が追加の費用なしでベースライン レベルのセキュリティを確実に有効にできるようにすることです。The goal of these four policies is to ensure that all organizations have a baseline level of security enabled at no extra cost.

カスタマイズされた条件付きアクセス ポリシーを管理するには、Azure AD Premium ライセンスが必要です。Managing customized Conditional Access policies requires an Azure AD Premium license.

ベースライン ポリシーBaseline policies

Azure portal での条件付きアクセス ベースライン ポリシー

組織で有効にすることができるベースライン ポリシーには次の 4 つがあります。There are four baseline policies that organizations can enable:

この 4 つのポリシーはすべて、POP、IMAP、より以前の Office デスクトップ クライアントなどのレガシ認証フローに影響を与えます。All four of these policies will impact legacy authentication flows like POP, IMAP, and older Office desktop clients.

管理者に MFA を要求する (プレビュー)Require MFA for admins (preview)

管理者アカウントには権限とアクセス権があるため、特別な注意を払って対処する必要があります。Due to the power and access that administrator accounts have, you should treat them with special care. 特権アカウントの保護を向上するための一般的な方法の 1 つは、特権アカウントがサインインに使用されるときに、強力な形式のアカウント検証を必須にすることです。One common method to improve the protection of privileged accounts is to require a stronger form of account verification when they are used to sign in. Azure Active Directory では、Azure Multi-Factor Authentication への登録とその使用を管理者に要求することで、アカウント検証を強力にすることができます。In Azure Active Directory, you can get a stronger account verification by requiring administrators to register for and use Azure Multi-Factor Authentication.

管理者に MFA を要求する (プレビュー)  は、最も高い特権を持つ Azure AD ロールであると見なされている次のディレクトリ ロールに対して多要素認証 (MFA) を要求するベースライン ポリシーです。Require MFA for admins (preview) is a baseline policy that requires multi-factor authentication (MFA) for the following directory roles, considered to be the most privileged Azure AD roles:

  • 全体管理者Global administrator
  • SharePoint 管理者SharePoint administrator
  • Exchange 管理者Exchange administrator
  • 条件付きアクセス管理者Conditional Access administrator
  • セキュリティ管理者Security administrator
  • ヘルプデスク管理者/パスワード管理者Helpdesk administrator / Password administrator
  • 課金管理者Billing administrator
  • ユーザー管理者User administrator

これらのアカウントがスクリプトまたはコードで使用されている組織の場合は、 マネージド ID に置き換えることを検討してください。If your organization has these accounts in use in scripts or code, consider replacing them with managed identities.

エンド ユーザーの保護 (プレビュー)End user protection (preview)

高い特権を持つ管理者だけが攻撃の標的になるわけではありません。High privileged administrators aren’t the only ones targeted in attacks. 悪意のあるアクターは通常のユーザーをターゲットにする傾向があります。Bad actors tend to target normal users. これらの悪意のあるアクターは、アクセス権を取得した後、元々のアカウント所有者に代わって機密性の高い情報へのアクセスを要求したり、ディレクトリ全体をダウンロードして組織全体にフィッシング攻撃を仕掛けたりする可能性があります。After gaining access, these bad actors can request access to privileged information on behalf of the original account holder or download the entire directory and perform a phishing attack on your whole organization. すべてのユーザーを対象にした保護を向上するための一般的な方法の 1 つは、危険なサインインが検出されたときに、より強力な形式のアカウント検証を要求することです。One common method to improve the protection for all users is to require a stronger form of account verification when a risky sign-in is detected.

エンド ユーザーの保護 (プレビュー) は、ディレクトリ内のすべてのユーザーを保護するベースライン ポリシーです。End user protection (preview) is a baseline policy that protects all users in a directory. このポリシーを有効にすると、すべてのユーザーが 14 日以内に Azure Multi-Factor Authentication に登録することを求められます。Enabling this policy requires all users to register for Azure Multi-Factor Authentication within 14 days. 登録されると、ユーザーはリスクの高いサインインの試行中にのみ、MFA を求められます。Once registered, users will be prompted for MFA only during risky sign-in attempts. 侵害されたユーザー アカウントは、パスワードがリセットされてリスクがなくなるまでブロックされます。Compromised user accounts are blocked until password reset and risk dismissal.

レガシ認証をブロックする (プレビュー)Block legacy authentication (preview)

レガシ認証プロトコル (例: IMAP、SMTP、POP3) は、より古いメール クライアントで、認証のために通常使用されているプロトコルです。Legacy authentication protocols (ex: IMAP, SMTP, POP3) are protocols normally used by older mail clients to authenticate. レガシ プロトコルでは、多要素認証はサポートされていません。Legacy protocols do not support multi-factor authentication. ご利用のディレクトリに対して多要素認証を要求するポリシーをお持ちの場合でも、悪意のあるアクターはこれらのレガシ プロトコルのいずれかを使用して多要素認証をバイパスすることができます。Even if you have a policy requiring multi-factor authentication for your directory, a bad actor can authenticate using one of these legacy protocols and bypass multi-factor authentication.

レガシ プロトコルによって行われる悪意のある認証要求からアカウントを保護するための最善の方法は、それらをブロックすることです。The best way to protect your account from malicious authentication requests made by legacy protocols is to block them.

レガシ認証をブロックする (プレビュー) ベースライン ポリシーでは、レガシ プロトコルを使用して行われる認証要求がブロックされます。The Block legacy authentication (preview) baseline policy blocks authentication requests that are made using legacy protocols. すべてのユーザーを正常にサインインさせるには、先進認証を使用する必要があります。Modern authentication must be used to successfully sign in for all users. その他のベースライン ポリシーと組み合わせて使用すれば、レガシ プロトコルから出される要求はブロックされます。Used in conjunction with the other baseline policies, requests coming from legacy protocols will be blocked. さらに、すべてのユーザーは必要に応じて MFA を要求されます。In addition, all users will be required to MFA whenever required. このポリシーで、Exchange ActiveSync はブロックされません。This policy does not block Exchange ActiveSync.

サービス管理のために MFA を要求する (プレビュー)Require MFA for service management (preview)

組織はさまざまな Azure サービスを使用すると共に、それらを Azure Resource Manager ベースの次のようなツールで管理します。Organizations use a variety of Azure services and manage them from Azure Resource Manager based tools like:

  • Azure ポータルAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

これらのツールのいずれかを使用してリソースを管理することは、高い特権が必要なアクションです。Using any of these tools to perform resource management is a highly privileged action. これらのツールでは、サービス設定やサブスクリプションの課金など、サブスクリプション全体の構成を変更できます。These tools can alter subscription-wide configurations, such as service settings and subscription billing.

特権を必要とするアクションを保護するために、このサービス管理のために MFA を要求する (プレビュー) ポリシーでは、Azure portal、Azure PowerShell、または Azure CLI にアクセスするどのユーザーに対しても多要素認証を要求します。To protect privileged actions, this Require MFA for service management (preview) policy will require multi-factor authentication for any user accessing Azure portal, Azure PowerShell, or Azure CLI.

ベースライン ポリシーを有効にするEnable a baseline policy

ベースライン ポリシーを有効にするには:To enable a baseline policy:

  1. *Azure portal*  にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Conditional Access.
  3. ポリシーの一覧では、有効にしたいベースライン ポリシーを選択します。In the list of policies, select a baseline policy you’d like to enable.
  4. [ポリシーを有効にする][オン] に設定します。Set Enable policy to On.
  5. [保存] をクリックします。Click Save.

次の手順Next steps

詳細については、次を参照してください。For more information, see: