ベースライン ポリシーとは?What are baseline policies?

ベースライン ポリシーは、多くの一般的な攻撃から組織を保護するために役立つ一連の定義済みのポリシーです。Baseline policies are a set of predefined policies that help protect organizations against many common attacks. これらの一般的な攻撃としては、パスワード スプレー、リプレイ、およびフィッシングなどが考えられます。These common attacks can include password spray, replay, and phishing. ベースライン ポリシーは、Azure AD のすべてのエディションで使用できます。Baseline policies are available in all editions of Azure AD. この数年間で ID ベースの攻撃が増えているため、Microsoft はこれらのベースライン保護ポリシーをすべてのユーザーが利用できるようにしています。Microsoft is making these baseline protection policies available to everyone because identity-based attacks have been on the rise over the last few years. これらの 4 つのポリシーの目標は、すべての組織が追加の費用なしでベースライン レベルのセキュリティを確実に有効にできるようにすることです。The goal of these four policies is to ensure that all organizations have a baseline level of security enabled at no extra cost.

カスタマイズされた条件付きアクセス ポリシーを管理するには、Azure AD Premium ライセンスが必要です。Managing customized Conditional Access policies requires an Azure AD Premium license.

重要

ベースライン ポリシーは非推奨になります。Baseline policies are being deprecated. 詳細については、「Azure Active Directory の新着情報」を参照してください。See What's new in Azure Active Directory? for more information.

ベースライン ポリシーBaseline policies

Azure portal での条件付きアクセス ベースライン ポリシー

ベースライン ポリシーには、次の 4 つがあります。There are four baseline policies:

  • Require MFA for admins (プレビュー)Require MFA for admins (preview)
  • End user protection (プレビュー)End user protection (preview)
  • Block legacy authentication (プレビュー)Block legacy authentication (preview)
  • Require MFA for Service Management (プレビュー)Require MFA for service management (preview)

この 4 つのポリシーはすべて、POP、IMAP、より以前の Office デスクトップ クライアントなどのレガシ認証フローに影響を与えます。All four of these policies will impact legacy authentication flows like POP, IMAP, and older Office desktop clients.

除外Exclusions

ベースライン ポリシーが最初のパブリック プレビューになった時点では、ユーザーをポリシーから除外するオプションが存在していました。When baseline policies went into their initial public preview, there was an option to exclude users from the policies. この機能はプレビューを通じて進化し、2019 年 7 月に削除されました。This capability evolved through the preview and was removed in July of 2019. 既に除外を作成していた組織は除外を保持し続けることができましたが、新しいユーザーは除外をポリシーに追加できませんでした。Organizations who had already created exclusions were able to continue to keep them new users were unable to add exclusions to the policies.

Require MFA for admins (プレビュー)Require MFA for admins (preview)

管理者アカウントには権限とアクセス権があるため、特別な注意を払って対処する必要があります。Due to the power and access that administrator accounts have, you should treat them with special care. 特権アカウントの保護を向上するための一般的な方法の 1 つは、特権アカウントがサインインに使用されるときに、強力な形式のアカウント検証を必須にすることです。One common method to improve the protection of privileged accounts is to require a stronger form of account verification when they are used to sign in. Azure Active Directory では、Azure Multi-Factor Authentication への登録とその使用を管理者に要求することで、アカウント検証を強力にすることができます。In Azure Active Directory, you can get a stronger account verification by requiring administrators to register for and use Azure Multi-Factor Authentication.

管理者に MFA を要求する (プレビュー) は、最も高い特権を持つ Azure AD ロールであると見なされている次のディレクトリ ロールに多要素認証 (MFA) を要求するベースライン ポリシーです。Require MFA for admins (preview) is a baseline policy that requires multi-factor authentication (MFA) for the following directory roles, considered to be the most privileged Azure AD roles:

  • 全体管理者Global administrator
  • SharePoint 管理者SharePoint administrator
  • Exchange 管理者Exchange administrator
  • 条件付きアクセス管理者Conditional Access administrator
  • セキュリティ管理者Security administrator
  • ヘルプデスク管理者/パスワード管理者Helpdesk administrator / Password administrator
  • 課金管理者Billing administrator
  • ユーザー管理者User administrator

組織のスクリプトまたはコードでこれらのアカウントが使用されている場合は、それをマネージド ID に置き換えることを検討してください。If your organization has these accounts in use in scripts or code, consider replacing them with managed identities.

End user protection (プレビュー)End user protection (preview)

高い特権を持つ管理者だけが攻撃の標的になるわけではありません。High privileged administrators aren’t the only ones targeted in attacks. 悪意のあるアクターは通常のユーザーをターゲットにする傾向があります。Bad actors tend to target normal users. これらの悪意のあるアクターは、アクセス権を取得した後、元々のアカウント所有者に代わって機密性の高い情報へのアクセスを要求したり、ディレクトリ全体をダウンロードして組織全体にフィッシング攻撃を仕掛けたりする可能性があります。After gaining access, these bad actors can request access to privileged information on behalf of the original account holder or download the entire directory and perform a phishing attack on your whole organization. すべてのユーザーを対象にした保護を向上するための一般的な方法の 1 つは、危険なサインインが検出されたときに、より強力な形式のアカウント検証を要求することです。One common method to improve the protection for all users is to require a stronger form of account verification when a risky sign-in is detected.

End user protection (プレビュー) は、ディレクトリ内のすべてのユーザーを保護するベースライン ポリシーです。End user protection (preview) is a baseline policy that protects all users in a directory. このポリシーを有効にすると、すべてのユーザーが 14 日以内に Azure Multi-Factor Authentication に登録することを求められます。Enabling this policy requires all users to register for Azure Multi-Factor Authentication within 14 days. 登録されると、ユーザーはリスクの高いサインインの試行中にのみ、MFA を求められます。Once registered, users will be prompted for MFA only during risky sign-in attempts. 侵害されたユーザー アカウントは、パスワードがリセットされてリスクがなくなるまでブロックされます。Compromised user accounts are blocked until password reset and risk dismissal.

注意

ポリシーをアクティブ化すると、以前にリスクのフラグが付けられたユーザーは、パスワードがリセットされてリスクがなくなるまでブロックされます。Any users previously flagged for risk are blocked until password reset and risk dismissal upon policy activation.

Block legacy authentication (プレビュー)Block legacy authentication (preview)

レガシ認証プロトコル (例: IMAP、SMTP、POP3) は、より古いメール クライアントで、認証のために通常使用されているプロトコルです。Legacy authentication protocols (ex: IMAP, SMTP, POP3) are protocols normally used by older mail clients to authenticate. レガシ プロトコルでは、多要素認証はサポートされていません。Legacy protocols do not support multi-factor authentication. ご利用のディレクトリに対して多要素認証を要求するポリシーをお持ちの場合でも、悪意のあるアクターはこれらのレガシ プロトコルのいずれかを使用して多要素認証をバイパスすることができます。Even if you have a policy requiring multi-factor authentication for your directory, a bad actor can authenticate using one of these legacy protocols and bypass multi-factor authentication.

レガシ プロトコルによって行われる悪意のある認証要求からアカウントを保護するための最善の方法は、それらをブロックすることです。The best way to protect your account from malicious authentication requests made by legacy protocols is to block them.

Block legacy authentication (プレビュー) ベースライン ポリシーでは、レガシ プロトコルを使用して行われる認証要求がブロックされます。The Block legacy authentication (preview) baseline policy blocks authentication requests that are made using legacy protocols. すべてのユーザーを正常にサインインさせるには、先進認証を使用する必要があります。Modern authentication must be used to successfully sign in for all users. その他のベースライン ポリシーと組み合わせて使用すれば、レガシ プロトコルから出される要求はブロックされます。Used in conjunction with the other baseline policies, requests coming from legacy protocols will be blocked. さらに、すべてのユーザーは必要に応じて MFA を要求されます。In addition, all users will be required to MFA whenever required. このポリシーで、Exchange ActiveSync はブロックされません。This policy does not block Exchange ActiveSync.

Require MFA for Service Management (プレビュー)Require MFA for service management (preview)

組織はさまざまな Azure サービスを使用すると共に、それらを Azure Resource Manager ベースの次のようなツールで管理します。Organizations use a variety of Azure services and manage them from Azure Resource Manager based tools like:

  • Azure portalAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

これらのツールのいずれかを使用してリソースを管理することは、高い特権が必要なアクションです。Using any of these tools to perform resource management is a highly privileged action. これらのツールでは、サービス設定やサブスクリプションの課金など、サブスクリプション全体の構成を変更できます。These tools can alter subscription-wide configurations, such as service settings and subscription billing.

特権を必要とするアクションを保護するために、この Require MFA for Service Management (プレビュー) ポリシーでは、Azure portal、Azure PowerShell、または Azure CLI にアクセスするどのユーザーに対しても多要素認証を要求します。To protect privileged actions, this Require MFA for service management (preview) policy will require multi-factor authentication for any user accessing Azure portal, Azure PowerShell, or Azure CLI.

次のステップNext steps

詳細については、次を参照してください。For more information, see: