ベースライン ポリシー:管理者に MFA を要求する (プレビュー)Baseline policy: Require MFA for admins (preview)

特権アカウントにアクセスできるユーザーは、環境に無制限にアクセスできます。Users with access to privileged accounts have unrestricted access to your environment. これらのアカウントには権限があるので、特別な注意を払って対処する必要があります。Due to the power these accounts have, you should treat them with special care. 特権アカウントの保護を向上するための一般的な方法の 1 つは、特権アカウントがサインインに使用されるときに、強力な形式のアカウント検証を必須にすることです。One common method to improve the protection of privileged accounts is to require a stronger form of account verification when they are used to sign-in. Azure Active Directory では、多要素認証 (MFA) を必須にすることで、アカウント検証を強力にすることができます。In Azure Active Directory, you can get a stronger account verification by requiring multi-factor authentication (MFA).

管理者の MFA を要求する (プレビュー)   は、次のいずれかの特権管理者ロールがサインインするたびに MFA を必要とするベースライン ポリシーです。Require MFA for admins (preview) is a baseline policy that requires MFA every time one of the following privileged administrator roles signs in:

  • 全体管理者Global administrator
  • SharePoint 管理者SharePoint administrator
  • Exchange 管理者Exchange administrator
  • 条件付きアクセス管理者Conditional Access administrator
  • セキュリティ管理者Security administrator
  • ヘルプデスク管理者/パスワード管理者Helpdesk administrator / Password administrator
  • 課金管理者Billing administrator
  • ユーザー管理者User administrator

管理者に MFA を要求するポリシーを有効にすると、上記の 9 つの管理者ロールは Authenticator アプリを使用して、MFA を登録する必要があります。Upon enabling the Require MFA for admins policy, the above nine administrator roles will be required to register for MFA using the Authenticator App. MFA の登録が完了すると、管理者はサインインするたびに MFA を実行する必要があります。Once MFA registration is complete, administrators will need to perform MFA every single time they sign-in.

デプロイに関する考慮事項Deployment considerations

管理者に MFA を要求する (プレビュー) ポリシーは、すべての重要な管理者に適用されます。したがって、デプロイが確実かつスムーズに行われるようにするための考慮事項がいくつかあります。Because the Require MFA for admins (preview) policy applies to all critical administrators, several considerations need to be made to ensure a smooth deployment. たとえば、MFA を実行できない、または実行すべきではないユーザーやサービス プリンシパルを Azure AD で特定する、ご自身の組織で使用されている先進認証に対応していないアプリケーションやクライアントを特定する、といった考慮事項です。These considerations include identifying users and service principles in Azure AD that cannot or should not perform MFA, as well as applications and clients used by your organization that do not support modern authentication.

レガシ プロトコルLegacy protocols

レガシ認証プロトコル (IMAP、SMTP、POP3 など) は、認証要求を行うためにメール クライアントによって使用されます。Legacy authentication protocols (IMAP, SMTP, POP3, etc.) are used by mail clients to make authentication requests. これらのプロトコルは、MFA をサポートしていません。These protocols do not support MFA. Microsoft によって確認されているアカウントのセキュリティ侵害のほとんどでは、攻撃者がレガシ プロトコルを攻撃することによって MFA のバイパスを試みています。Most of the account compromises seen by Microsoft are caused by bad actors performing attacks against legacy protocols attempting to bypass MFA. 管理アカウントにログインするときに確実に MFA を要求し、攻撃者が MFA をバイパスできないようにするために、このポリシーは、レガシ プロトコルから管理者アカウントに対して行われるすべての認証要求をブロックします。To ensure that MFA is required when logging into an administrative account and bad actors aren’t able to bypass MFA, this policy blocks all authentication requests made to administrator accounts from legacy protocols.

警告

このポリシーを有効にする前に、管理者がレガシ認証プロトコルを使用していないことを確認してください。Before you enable this policy, make sure your administrators aren’t using legacy authentication protocols. 詳細については、条件付きアクセスを使用して Azure AD へのレガシ認証をブロックする方法に関するページを参照してください。See the article How to: Block legacy authentication to Azure AD with Conditional Access for more information.

ベースライン ポリシーを有効にするEnable the baseline policy

ポリシー [ベースライン ポリシー: 管理者に MFA を要求する (プレビュー)] は事前構成され、Azure portal の [条件付きアクセス] ブレードに移動すると上部に表示されます。The policy Baseline policy: Require MFA for admins (preview) comes pre-configured and will show up at the top when you navigate to the Conditional Access blade in Azure portal.

このポリシーを有効にして管理者を保護するには:To enable this policy and protect your administrators:

  1. *Azure portal*  にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。Sign in to the Azure portal as global administrator, security administrator, or Conditional Access administrator.
  2. [Azure Active Directory] > [条件付きアクセス] の順に移動します。Browse to Azure Active Directory > Conditional Access.
  3. ポリシーの一覧で、 [ベースライン ポリシー: 管理者に MFA を要求する (プレビュー)] を選択します。In the list of policies, select Baseline policy: Require MFA for admins (preview).
  4. [ポリシーを有効にする][ポリシーをすぐに使用する] に設定します。Set Enable policy to Use policy immediately.
  5. *[保存]* をクリックします。Click Save.

警告

このポリシーがプレビュー段階であったときは、 [将来、ポリシーを自動的に有効にする] というオプションがありました。There was an option Automatically enable policy in the future when this policy was in preview. ユーザーへの突然の影響を最小限に抑えるために、このオプションは削除しました。We removed this option to minimize sudden user impact. このオプションを使用できたときに選択した場合、現在では [ポリシーを使用しない] が自動的に選択されています。If you selected this option when it was available, Do not use policy is automatically now selected. このベースライン ポリシーを使用する場合は、上の手順を参照して有効にしてください。If they want to use this baseline policy, see steps above to enable it.

次の手順Next steps

詳細については、次を参照してください。For more information, see: