セキュリティの既定値群とはWhat are security defaults?

パスワード スプレー、リプレイ、フィッシングなど、ID 関連の一般的な攻撃がますます広まる中で、セキュリティの管理に困難をきたす場合があります。Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. セキュリティの既定値群では、次のような構成済みのセキュリティ設定を使用して、これらの攻撃から組織を容易に保護できます。Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

  • すべてのユーザーに対して Azure Multi-Factor Authentication への登録を必須にします。Requiring all users to register for Azure Multi-Factor Authentication.
  • 管理者に多要素認証の実行を要求します。Requiring administrators to perform multi-factor authentication.
  • レガシ認証プロトコルをブロックします。Blocking legacy authentication protocols.
  • 必要に応じてユーザーに多要素認証の実行を要求します。Requiring users to perform multi-factor authentication when necessary.
  • Azure portal へのアクセスなどの特権が必要な作業を保護します。Protecting privileged activities like access to the Azure portal.

セキュリティ デフォルトを有効にするためのトグルがある Azure portal のスクリーンショット

セキュリティの既定値群が使用可能になっている理由の詳細については、Alex Weinert の「セキュリティの既定値群の導入」というブログ記事をお読みください。More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

可用性Availability

Microsoft は、誰もがセキュリティの既定値群を利用できるよう努めています。Microsoft is making security defaults available to everyone. 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. セキュリティの既定値群は、Azure portal で有効にします。You turn on security defaults in the Azure portal. 2019 年 10 月 22 日以降に作成されたテナントの場合、セキュリティの既定値群はテナントで既に有効になっている可能性があります。If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. すべてのユーザーを保護するために、セキュリティの既定値群は、新しく作成されたすべてのテナントにロールアウトされます。In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

適した組織Who's it for?

  • セキュリティ体制の向上を望んでいるが、どこから始めればいいのかわからない組織には、セキュリティの既定値群が適しています。If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
  • Azure Active Directory ライセンスの Free レベルを利用している組織には、セキュリティの既定値群が適しています。If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

条件付きアクセスを使用する必要がある組織Who should use Conditional Access?

  • 現在、条件付きアクセス ポリシーを使用して信号をまとめ、意思決定を行い、組織のポリシーを適用している組織には、セキュリティの既定値群は適切ではない場合があります。If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
  • Azure Active Directory の Premium ライセンスを持つ組織には、セキュリティの既定値群は適切ではない場合があります。If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
  • 組織に複雑なセキュリティ要件がある場合は、条件付きアクセスを検討する必要があります。If your organization has complex security requirements you should consider Conditional Access.

適用されるポリシーPolicies enforced

多要素認証の登録手続きの統一Unified Multi-Factor Authentication registration

テナント内のすべてのユーザーは、Azure Multi-Factor Authentication のフォームを使用して多要素認証 (MFA) に登録する必要があります。All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure Multi-Factor Authentication. ユーザーは 14 日以内に Microsoft Authenticator アプリを使用して Azure Multi-Factor Authentication に登録する必要があります。Users have 14 days to register for Azure Multi-Factor Authentication by using the Microsoft Authenticator app. 14 日が経過すると、ユーザーは登録が完了するまでサインインできなくなります。After the 14 days have passed, the user won't be able to sign in until registration is completed. 14 日の期間は、セキュリティの既定値群が有効になった後、それぞれのユーザーの対話型サインインが最初に成功した時点から始まります。A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

管理者の保護Protecting administrators

特権アクセスを持つユーザーは、より自由に環境にアクセスできます。Users with privileged access have increased access to your environment. これらのアカウントには権限があるので、特別な注意を払って対処する必要があります。Due to the power these accounts have, you should treat them with special care. 特権アカウントの保護を強化するための一般的な方法の 1 つは、サインイン時に、強力な形式のアカウント検証を必須にすることです。One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. Azure AD では、多要素認証を必須にすることで、アカウント検証を強力にすることができます。In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

次の 9 つの Azure AD 管理者ロールについては、Azure Multi-Factor Authentication への登録が完了した後、サインインのたびに追加の認証を実行する必要があります。After registration with Azure Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • 全体管理者Global administrator
  • SharePoint 管理者SharePoint administrator
  • Exchange 管理者Exchange administrator
  • 条件付きアクセス管理者Conditional Access administrator
  • セキュリティ管理者Security administrator
  • ヘルプデスク管理者Helpdesk administrator
  • 課金管理者Billing administrator
  • ユーザー管理者User administrator
  • 認証管理者Authentication administrator

すべてのユーザーの保護Protecting all users

認証の追加のレイヤーが必要なアカウントは管理者アカウントだけであると考えがちです。We tend to think that administrator accounts are the only accounts that need extra layers of authentication. 管理者は、機密情報への広範なアクセス権を持ち、サブスクリプション全体の設定に変更を加えることができます。Administrators have broad access to sensitive information and can make changes to subscription-wide settings. しかし、多くの場合、攻撃者はエンド ユーザーをターゲットにします。But attackers frequently target end users.

これらの攻撃者は、アクセス権を取得した後、元のアカウント所有者に代わって機密性の高い情報へのアクセスを要求できます。After these attackers gain access, they can request access to privileged information on behalf of the original account holder. ディレクトリ全体をダウンロードして、組織全体に対してフィッシング攻撃を実行することさえできます。They can even download the entire directory to perform a phishing attack on your whole organization.

すべてのユーザーを対象にした保護を向上させるための一般的な方法の 1 つは、全員に Multi-Factor Authentication を要求するなど、より強力な形式のアカウント検証を要求することです。One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. ユーザーが Multi-Factor Authentication の登録を完了すると、必要に応じて追加の認証を求められるようになります。After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. この機能は、SaaS アプリケーションを含めて、Azure AD に登録されているすべてのアプリケーションを保護します。This functionality protects all applications registered with Azure AD including SaaS applications.

レガシ認証をブロックするBlocking legacy authentication

ユーザーがクラウド アプリに簡単にアクセスできるように、Azure AD ではレガシ認証を含め、幅広い認証プロトコルがサポートされています。To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. "レガシ認証" は、以下のものによって行われる認証要求を指す用語です。Legacy authentication is a term that refers to an authentication request made by:

  • 先進認証を使用していないクライアント (Office 2010 クライアントなど)。Clients that don't use modern authentication (for example, an Office 2010 client).
  • IMAP、SMTP、POP3 などの古いメール プロトコルを使用しているクライアント。Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

今日では、不正侵入を意図したサインイン試行の大部分がレガシ認証によるものです。Today, the majority of compromising sign-in attempts come from legacy authentication. レガシ認証では、Multi-Factor Authentication がサポートされていません。Legacy authentication does not support Multi-Factor Authentication. ディレクトリで Multi-Factor Authentication ポリシーが有効になっている場合でも、攻撃者は古いプロトコルを使用して認証を受け、Multi-Factor Authentication をバイパスできます。Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

テナントでセキュリティ デフォルトが有効になった後は、古いプロトコルによるすべての認証要求がブロックされます。After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. セキュリティ既定値は、Exchange Active Sync 基本認証をブロックします。Security defaults blocks Exchange Active Sync basic authentication.

警告

セキュリティの既定値群を有効にする前に、管理者が古い認証プロトコルを使用していないことを確認してください。Before you enable security defaults, make sure your administrators aren't using older authentication protocols. 詳細については、レガシ認証から移行する方法に関するページを参照してください。For more information, see How to move away from legacy authentication.

特権アクションの保護Protecting privileged actions

組織では、Azure Resource Manager API によって管理される、次のような各種の Azure サービスを使用します。Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • Azure portalAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Azure Resource Manager を使用してご自身のサービスを管理する操作は、高い権限が与えられているアクションです。Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager では、サービス設定、サブスクリプションの課金など、テナント全体の構成を変更できます。Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. 単一要素認証は、フィッシング、パスワード スプレーなどの各種の攻撃に対して脆弱です。Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Azure Resource Manager にアクセスして構成を更新しようとするユーザーの ID を検証することが重要です。It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. アクセスを許可する前に、追加の認証を要求して ID を検証します。You verify their identity by requiring additional authentication before you allow access.

テナントでセキュリティの既定値群を有効にすると、Azure portal、Azure PowerShell、または Azure CLI にアクセスしようとしているユーザーがいずれも、追加の認証を完了しなければならなくなります。After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. このポリシーは、Azure Resource Manager にアクセスしようとしているユーザーであれば、管理者であるかユーザーであるかに関係なく全員に適用されます。This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

注意

2017 年より前の Exchange Online テナントでは、先進認証が既定で無効になっています。Pre-2017 Exchange Online tenants have modern authentication disabled by default. これらのテナントを通じて認証を行うときにログイン ループの可能性を回避するために、先進認証を有効にする必要があります。In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

注意

Azure AD Connect の同期アカウントはセキュリティの既定値群から除外されるため、Multi-Factor Authentication の登録または実行を求められることはありません。The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. 組織は、このアカウントを他の目的で使用しないでください。Organizations should not be using this account for other purposes.

デプロイに関する考慮事項Deployment considerations

セキュリティの既定値群のデプロイに関連したその他の考慮事項を次に示します。The following additional considerations are related to deployment of security defaults.

認証方法Authentication methods

これらの無料のセキュリティの既定値群を使用すると、通知を使用する Microsoft Authenticator アプリのみを使用して、Azure Multi-Factor Authentication の登録と使用を行うことができます。These free security defaults allow registration and use of Azure Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. 条件付きアクセスでは、管理者が有効にする任意の認証方法を使用できます。Conditional Access allows the use of any authentication method the administrator chooses to enable.

MethodMethod セキュリティの既定値群Security defaults 条件付きアクセスConditional Access
モバイル アプリでの通知Notification through mobile app XX XX
モバイル アプリからの確認コードまたはハードウェア トークンVerification code from mobile app or hardware token X**X** XX
電話へのテキスト メッセージText message to phone XX
電話の呼び出しCall to phone XX
アプリ パスワードApp passwords X***X***
  • ** ユーザーは Microsoft Authenticator アプリの確認コードを使用できますが、通知オプションを使用した場合のみ登録できます。** Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
  • *** アプリ パスワードは、管理者が有効にした場合にのみ、レガシ認証シナリオでのユーザーごとの MFA でのみ使用できます。*** App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

無効な MFA の状態Disabled MFA status

組織がユーザー ベースの Azure Multi-Factor Authentication の以前のユーザーである場合は、多要素認証の状態のページを確認したときに、 [有効] 状態または [強制] 状態にあるユーザーが表示されなくても問題ありません。If your organization is a previous user of per-user based Azure Multi-Factor Authentication, do not be alarmed to not see users in an Enabled or Enforced status if you look at the Multi-Factor Auth status page. [無効] は、セキュリティの既定値群または条件付きアクセス ベースの Azure Multi-Factor Authentication を使用しているユーザーにとって適切な状態です。Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure Multi-Factor Authentication.

条件付きアクセスConditional Access

条件付きアクセスを使用して、セキュリティの既定値群に似たポリシーを構成できますが、厳密にはセキュリティの既定値群では利用できないユーザーの除外も含まれます。You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. 条件付きアクセスを使用しており、環境で条件付きアクセス ポリシーを有効にしている場合、セキュリティの既定値群は使用できません。If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. 条件付きアクセスが利用できるライセンスを持っていても、環境で条件付きアクセス ポリシーが有効になっていない場合には、条件付きアクセス ポリシーを有効にしない限り、セキュリティの既定値群を使用できます。If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Azure AD ライセンスの詳細については、Azure AD の価格に関するページを参照してください。More information about Azure AD licensing can be found on the Azure AD pricing page.

セキュリティ既定値と条件付きアクセスは併用不可であるという警告メッセージ

以下は、条件付きアクセスを使用して、セキュリティの既定値群で有効になったこれらのポリシーと同等のポリシーを構成する方法のステップバイステップ ガイドです。Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

セキュリティの既定値群の有効化Enabling security defaults

ディレクトリでセキュリティの既定値群を有効にするには、次のようにします。To enable security defaults in your directory:

  1. セキュリティ管理者、条件付きアクセス管理者、またはグローバル管理者として、 Azure portal  にサインインします。Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. *[Azure Active Directory]*  > *[プロパティ]* の順に移動します。Browse to Azure Active Directory > Properties.
  3. [セキュリティの既定値群の管理] を選択します。Select Manage security defaults.
  4. [セキュリティの既定値群の有効化] トグルを [はい] に設定します。Set the Enable security defaults toggle to Yes.
  5. [保存] を選択します。Select Save.

セキュリティの既定値群を無効にするDisabling security defaults

セキュリティの既定値群を置き換える条件付きアクセス ポリシーを実装する組織では、セキュリティの既定値群を無効にする必要があります。Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

条件付きアクセス ポリシーを有効にするためにセキュリティの既定値を無効にする警告メッセージ

ディレクトリでセキュリティの既定値群を無効にするには、次のようにします。To disable security defaults in your directory:

  1. セキュリティ管理者、条件付きアクセス管理者、またはグローバル管理者として、 Azure portal  にサインインします。Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. *[Azure Active Directory]*  > *[プロパティ]* の順に移動します。Browse to Azure Active Directory > Properties.
  3. [セキュリティの既定値群の管理] を選択します。Select Manage security defaults.
  4. [セキュリティの既定値群の有効化] トグルを [いいえ] に設定します。Set the Enable security defaults toggle to No.
  5. [保存] を選択します。Select Save.

次のステップNext steps

一般的な条件付きアクセス ポリシーCommon Conditional Access policies