セキュリティの既定値群とはWhat are security defaults?

ID 関連の一般的な攻撃がますます広まる中で、セキュリティの管理に困難をきたす場合があります。Managing security can be difficult when common identity-related attacks are becoming more and more popular. このような攻撃として、パスワード スプレー、リプレイ、フィッシングなどがあります。These attacks include password spray, replay, and phishing.

Azure Active Directory (Azure AD) のセキュリティ既定値は、セキュリティの実現をいっそう容易にし、組織を保護するために役立ちます。Security defaults in Azure Active Directory (Azure AD) make it easier to be secure and help protect your organization. セキュリティの既定値群には、一般的な攻撃に対して事前に構成されたセキュリティ設定が含まれています。Security defaults contain preconfigured security settings for common attacks.

Microsoft は、誰もがセキュリティの既定値群を利用できるよう努めています。Microsoft is making security defaults available to everyone. 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. セキュリティの既定値群は、Azure portal で有効にします。You turn on security defaults in the Azure portal.

セキュリティ デフォルトを有効にするためのトグルがある Azure portal のスクリーンショット

ヒント

お使いのテナントが 2019 年 10 月 22 日以降に作成された場合は、新しい "既定のセキュリティ保護" 動作により、セキュリティの既定値群が既にテナントで有効になっている可能性があります。If your tenant was created on or after October 22nd, 2019, it’s possible you are experiencing the new secure-by-default behavior and already have security defaults enabled in your tenant. すべてのユーザーを保護するために、セキュリティの既定値群は、新しく作成されたすべてのテナントにロールアウトされます。In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

セキュリティの既定値群が使用可能になっている理由の詳細については、Alex Weinert の「セキュリティの既定値群の導入」というブログ記事をお読みください。More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

多要素認証の登録手続きの統一Unified Multi-Factor Authentication registration

テナント内のすべてのユーザーは、Azure Multi-Factor Authentication サービスのフォームを使用して多要素認証 (MFA) に登録する必要があります。All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure Multi-Factor Authentication service. ユーザーは 14 日以内に Microsoft Authenticator アプリを使用して Multi-Factor Authentication に登録する必要があります。Users have 14 days to register for Multi-Factor Authentication by using the Microsoft Authenticator app. 14 日が経過すると、ユーザーは Multi-Factor Authentication への登録が完了するまでサインインできなくなります。After the 14 days have passed, the user won't be able to sign in until Multi-Factor Authentication registration is finished.

セキュリティの既定値群を有効にした直後の 14 日以内に、一部のユーザーが出勤またはログインしない場合があることは理解しています。We understand that some users might be out of office or won't sign in during the 14 days immediately after enabling security defaults. ユーザー全員に Multi-Factor Authentication の登録のための十分な時間を与えられるように、14 日の期間はユーザーごとに固有です。To ensure that every user has ample time to register for Multi-Factor Authentication, the 14-day period is unique for each user. 14 日の期間は、セキュリティの既定値群が有効になった後、それぞれのユーザーの対話型サインインが最初に成功した時点から始まります。A user's 14-day period begins after their first successful interactive sign-in after you enable security defaults.

Multi-Factor Authentication の強制Multi-Factor Authentication enforcement

管理者の保護Protecting administrators

特権アカウントにアクセスできるユーザーは、より自由に環境にアクセスできます。Users with access to privileged accounts have increased access to your environment. これらのアカウントには権限があるので、特別な注意を払って対処する必要があります。Due to the power these accounts have, you should treat them with special care. 特権アカウントの保護を強化するための一般的な方法の 1 つは、サインイン時に、強力な形式のアカウント検証を必須にすることです。One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. Azure AD では、Multi-Factor Authentication を必須にすることで、アカウント検証を強力にすることができます。In Azure AD, you can get a stronger account verification by requiring Multi-Factor Authentication.

次の 9 つの Azure AD 管理者ロールについては、Multi-Factor Authentication への登録が完了した後、サインインのたびに追加の認証を実行する必要があります。After registration with Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • 全体管理者Global administrator
  • SharePoint 管理者SharePoint administrator
  • Exchange 管理者Exchange administrator
  • 条件付きアクセス管理者Conditional Access administrator
  • セキュリティ管理者Security administrator
  • ヘルプデスク管理者またはパスワード管理者Helpdesk administrator or password administrator
  • 課金管理者Billing administrator
  • ユーザー管理者User administrator
  • 認証管理者Authentication administrator

すべてのユーザーの保護Protecting all users

認証の追加のレイヤーが必要なアカウントは管理者アカウントだけであると考えがちです。We tend to think that administrator accounts are the only accounts that need extra layers of authentication. 管理者は、機密情報への広範なアクセス権を持ち、サブスクリプション全体の設定に変更を加えることができます。Administrators have broad access to sensitive information and can make changes to subscription-wide settings. しかし、攻撃者はエンド ユーザーをターゲットにする傾向があります。But attackers tend to target end users.

これらの攻撃者は、アクセス権を取得した後、元のアカウント所有者に代わって機密性の高い情報へのアクセスを要求できます。After these attackers gain access, they can request access to privileged information on behalf of the original account holder. ディレクトリ全体をダウンロードして、組織全体に対してフィッシング攻撃を実行することさえできます。They can even download the entire directory to perform a phishing attack on your whole organization.

すべてのユーザーを対象にした保護を向上させるための一般的な方法の 1 つは、全員に Multi-Factor Authentication を要求するなど、より強力な形式のアカウント検証を要求することです。One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. ユーザーが Multi-Factor Authentication の登録を完了すると、必要に応じて追加の認証を求められるようになります。After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary.

レガシ認証をブロックするBlocking legacy authentication

ユーザーがクラウド アプリに簡単にアクセスできるように、Azure AD ではレガシ認証を含め、幅広い認証プロトコルがサポートされています。To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. "レガシ認証" は、以下のものによって行われる認証要求を指す用語です。Legacy authentication is a term that refers to an authentication request made by:

  • 先進認証を使用していないクライアント (Office 2010 クライアントなど)。Clients that don't use modern authentication (for example, an Office 2010 client).
  • IMAP、SMTP、POP3 などの古いメール プロトコルを使用しているクライアント。Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

今日では、不正侵入を意図したサインイン試行の大部分がレガシ認証によるものです。Today, the majority of compromising sign-in attempts come from legacy authentication. レガシ認証では、Multi-Factor Authentication がサポートされていません。Legacy authentication does not support Multi-Factor Authentication. ディレクトリで Multi-Factor Authentication ポリシーが有効になっている場合でも、攻撃者は古いプロトコルを使用して認証を受け、Multi-Factor Authentication をバイパスできます。Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

テナントでセキュリティ デフォルトが有効になった後は、古いプロトコルによるすべての認証要求がブロックされます。After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. セキュリティ既定値は、Exchange Active Sync 基本認証をブロックします。Security defaults blocks Exchange Active Sync basic authentication.

警告

セキュリティの既定値群を有効にする前に、管理者が古い認証プロトコルを使用していないことを確認してください。Before you enable security defaults, make sure your administrators aren't using older authentication protocols. 詳細については、レガシ認証から移行する方法に関するページを参照してください。For more information, see How to move away from legacy authentication.

特権アクションの保護Protecting privileged actions

組織では、Azure Resource Manager API によって管理される、次のような各種の Azure サービスを使用します。Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • Azure portalAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Azure Resource Manager を使用してご自身のサービスを管理する操作は、高い権限が与えられているアクションです。Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager では、サービス設定、サブスクリプションの課金など、テナント全体の構成を変更できます。Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. 単一要素認証は、フィッシング、パスワード スプレーなどの各種の攻撃に対して脆弱です。Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Azure Resource Manager にアクセスして構成を更新しようとするユーザーの ID を検証することが重要です。It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. アクセスを許可する前に、追加の認証を要求して ID を検証します。You verify their identity by requiring additional authentication before you allow access.

テナントでセキュリティの既定値群を有効にすると、Azure portal、Azure PowerShell、または Azure CLI にアクセスしようとしているユーザーがいずれも、追加の認証を完了しなければならなくなります。After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. このポリシーは、Azure Resource Manager にアクセスしようとしているユーザーであれば、管理者であるかユーザーであるかに関係なく全員に適用されます。This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

注意

2017 年より前の Exchange Online テナントでは、先進認証が既定で無効になっています。Pre-2017 Exchange Online tenants have modern authentication disabled by default. これらのテナントを通じて認証を行うときにログイン ループの可能性を回避するために、先進認証を有効にする必要があります。In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

注意

Azure AD Connect の同期アカウントはセキュリティの既定値群から除外されるため、Multi-Factor Authentication の登録または実行を求められることはありません。The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. 組織は、このアカウントを他の目的で使用しないでください。Organizations should not be using this account for other purposes.

デプロイに関する考慮事項Deployment considerations

テナントに対するセキュリティの既定値群のデプロイに関連したその他の考慮事項を次に示します。The following additional considerations are related to deployment of security defaults for your tenant.

認証方法Authentication methods

セキュリティの既定値群を使用すると、通知を使用する Microsoft Authenticator アプリのみを使用して、Azure Multi-Factor Authentication の登録と使用を行うことができます。Security defaults allow registration and use of Azure Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. 条件付きアクセスでは、管理者が有効にする任意の認証方法を使用できます。Conditional Access allows the use of any authentication method the administrator chooses to enable.

セキュリティの既定値群Security defaults 条件付きアクセスConditional Access
モバイル アプリでの通知Notification through mobile app XX XX
モバイル アプリからの確認コードまたはハードウェア トークンVerification code from mobile app or hardware token XX
電話へのテキスト メッセージText message to phone XX
電話の呼び出しCall to phone XX
アプリ パスワードApp passwords X**X**

** アプリ パスワードは、管理者が有効にした場合にのみ、レガシ認証シナリオでのユーザーごとの MFA でのみ使用できます。** App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

条件付きアクセスConditional Access

条件付きアクセスを使用して、セキュリティの既定値群に似たポリシーを構成できますが、厳密にはセキュリティの既定値群では利用できないユーザーの除外も含まれます。You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. 条件付きアクセスを使用しており、環境で条件付きアクセス ポリシーを有効にしている場合、セキュリティの既定値群は使用できません。If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. 条件付きアクセスが利用できるライセンスを持っていても、環境で条件付きアクセス ポリシーが有効になっていない場合には、条件付きアクセス ポリシーを有効にしない限り、セキュリティの既定値群を使用できます。If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Azure AD ライセンスの詳細については、Azure AD の価格に関するページを参照してください。More information about Azure AD licensing can be found on the Azure AD pricing page.

セキュリティ既定値と条件付きアクセスは併用不可であるという警告メッセージ

以下は、条件付きアクセスを使用して同等のポリシーを構成する方法のステップバイステップ ガイドです。Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies:

セキュリティの既定値群の有効化Enabling security defaults

ディレクトリでセキュリティの既定値群を有効にするには、次のようにします。To enable security defaults in your directory:

  1. セキュリティ管理者、条件付きアクセス管理者、またはグローバル管理者として、 Azure portal  にサインインします。Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. *[Azure Active Directory]*  > *[プロパティ]* の順に移動します。Browse to Azure Active Directory > Properties.
  3. [セキュリティの既定値群の管理] を選択します。Select Manage security defaults.
  4. [セキュリティの既定値群の有効化] トグルを [はい] に設定します。Set the Enable security defaults toggle to Yes.
  5. [保存] を選択します。Select Save.

セキュリティの既定値群を無効にするDisabling security defaults

セキュリティの既定値群を置き換える条件付きアクセス ポリシーを実装する組織では、セキュリティの既定値群を無効にする必要があります。Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

条件付きアクセス ポリシーを有効にするためにセキュリティの既定値を無効にする警告メッセージ

ディレクトリでセキュリティの既定値群を無効にするには、次のようにします。To disable security defaults in your directory:

  1. セキュリティ管理者、条件付きアクセス管理者、またはグローバル管理者として、 Azure portal  にサインインします。Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. *[Azure Active Directory]*  > *[プロパティ]* の順に移動します。Browse to Azure Active Directory > Properties.
  3. [セキュリティの既定値群の管理] を選択します。Select Manage security defaults.
  4. [セキュリティの既定値群の有効化] トグルを [いいえ] に設定します。Set the Enable security defaults toggle to No.
  5. [保存] を選択します。Select Save.

次のステップNext steps

一般的な条件付きアクセス ポリシーCommon Conditional Access policies