ID とデバイスのアクセス構成Identity and device access configurations

このシリーズの記事では、推奨されている環境と構成 (条件付きアクセスポリシーの規定されたセットを含む) を実装することにより、Enterprise Mobility + Security (EMS) 製品を使用してクラウドサービスへのセキュリティで保護されたアクセスを構成する方法について説明します。関連する機能。This series of articles describes how to configure secure access to cloud services through Enterprise Mobility + Security (EMS) products by implementing a recommended environment and configuration, including a prescribed set of conditional access policies and related capabilities. EMS は、Microsoft 365 のコアコンポーネントです。EMS is a core component of Microsoft 365. このガイダンスを使用して、azure Active Directory と統合されたすべてのサービスへのアクセスを保護できます。これには、Office 365 サービス、その他の SaaS サービス、および Azure AD アプリケーションプロキシで公開されたオンプレミスアプリケーションが含まれます。You can use this guidance to protect access to all services that are integrated with Azure Active Directory, including Office 365 services, other SaaS services, and on-premises applications published with Azure AD Application Proxy.

これらの推奨事項は、Microsoft セキュリティスコアとAZURE AD の id スコアに沿っており、組織にとってこれらのスコアが増加します。These recommendations are aligned with Microsoft Secure Score as well as identity score in Azure AD, and will increase these scores for your organization. これらの推奨事項は、id インフラストラクチャをセキュリティで保護するための5つの手順を実装するのにも役立ちます。These recommendations will also help you implement these five steps to securing your identity infrastructure.

Microsoft は、組織によっては独自の環境要件や複雑さがあることを認識しています。Microsoft understands that some organizations have unique environment requirements or complexities. これらの組織のいずれかである場合は、これらの推奨事項を出発点として使用します。If you are one of these organizations, use these recommendations as a starting point. ただし、ほとんどの組織では、これらの推奨事項を定められたとおりに実装できます。However, most organizations can implement these recommendations as prescribed.

対象ユーザーIntended audience

これらの推奨事項は、 Office 365microsoft Enterprise Mobility + Securityに精通している企業のアーキテクトおよび IT 担当者を対象としています。これには、azure Active Directory (Identity)、microsoft Intune (デバイス管理)、azure Information protection (データ保護) などが含まれます。These recommendations are intended for enterprise architects and IT professionals who are familiar with Office 365 and Microsoft Enterprise Mobility + Security, which includes, among others, Azure Active Directory (identity), Microsoft Intune (device management), and Azure Information Protection (data protection).

お客様の環境Customer environment

推奨されるポリシーは、Microsoft クラウド内で完全に運用しているエンタープライズ組織と、ハイブリッドインフラストラクチャ (オンプレミスと Microsoft クラウドの両方) を使用しているお客様向けに適用されます。The recommended policies are applicable to enterprise organizations operating both entirely within the Microsoft cloud and for customers with hybrid infrastructure (deployed both on-premises and the Microsoft cloud).

提供されている推奨事項の多くは、Enterprise Mobility + Security (EMS) E5 ライセンスでのみ利用可能なサービスに依存しています。Many of the provided recommendations rely on services available only with Enterprise Mobility + Security (EMS) E5 licenses. 推奨される推奨事項は、完全な EMS E5 ライセンス機能を前提としています。Recommendations presented assume full EMS E5 license capabilities.

Enterprise Mobility + Security E5 ライセンスを持っていない組織では、少なくともすべてのプランに含まれている Azure AD ベースの保護機能を実装することをお勧めします。For those organizations who do not have Enterprise Mobility + Security E5 licenses, Microsoft recommends you at least implement Azure AD baseline protection capabilities that are included with all plans. 詳細については、記事「Azure AD ライブラリのベースライン保護について」を参照してください。More information can be found in the article, What is baseline protection, in the Azure AD library.

べきCaveats

お客様の組織は、これらの推奨される構成から分岐するポリシーを適用する必要がある特定の推奨事項を含む、規制またはその他のコンプライアンス要件の対象となる場合があります。Your organization may be subject to regulatory or other compliance requirements, including specific recommendations that may require you to apply policies that diverge from these recommended configurations. これらの構成では、これまで利用できなかった使用状況コントロールが推奨されます。These configurations recommend usage controls that have not historically been available. これらのコントロールは、セキュリティと生産性との間でバランスがあると考えられるため、お勧めします。We recommend these controls, because we believe they represent a balance between security and productivity.

さまざまな組織保護要件に対応できるようにしていますが、すべての要件を考慮することも、組織のすべての特有の要素を考慮することもできません。We have done our best to account for a wide variety of organizational protection requirements, but we’re not able to account for all possible requirements or for all the unique aspects of your organization.

3層の保護Three tiers of protection

ほとんどの組織は、セキュリティとデータ保護に関して固有の要件を用意しています。 そのような要件は業種によって、また、組織内の職務によって変わります。 たとえば、法務部や Office 365 管理者は、他の部署のユーザーには必要のない、メール通信関連の追加セキュリティと情報保護管理を必要とすることがあります。Most organizations have specific requirements regarding security and data protection. These requirements vary by industry segment and by job functions within organizations. For example, your legal department and Office 365 administrators might require additional security and information protection controls around their email correspondence that are not required for other business unit users.

また、あらゆる業種が独自の特別な規制を用意しています。Each industry also has their own set of specialized regulations. 考えられるすべてのセキュリティオプションの一覧、または業界セグメントまたはジョブ機能ごとの推奨事項を指定するのではなく、ニーズの粒度に基づいて適用可能な3つのセキュリティと保護の層に対して推奨事項が提供されています。.Rather than providing a list of all possible security options or a recommendation per industry segment or job function, recommendations have been provided for three different tiers of security and protection that can be applied based on the granularity of your needs.

  • ベースライン保護: データを保護するための最小限の標準と、データにアクセスする id およびデバイスを設定することをお勧めします。Baseline protection: We recommend you establish a minimum standard for protecting data, as well as the identities and devices that access your data. これらのベースライン推奨事項に従って、多くの組織のニーズを満たす強力な既定の保護を提供することができます。You can follow these baseline recommendations to provide strong default protection that meets the needs of many organizations.
  • 機密保護: 一部のお客様は、より高いレベルで保護する必要があるデータのサブセットを持っているか、すべてのデータをより高いレベルで保護する必要がある場合があります。Sensitive protection: Some customers have a subset of data that must be protected at higher levels, or they may require all data to be protected at a higher level. Office 365 環境のすべてまたは特定のデータ セットに高度な保護機能を適用できます。You can apply increased protection to all or specific data sets in your Office 365 environment. 機密データにアクセスする ID とデバイスはそれに相応しいレベルのセキュリティで保護することを推奨します。We recommend protecting identities and devices that access sensitive data with comparable levels of security.
  • 厳しく規制されている組織によっては、非常に多くのデータ、consititutes 取引機密、または規制データがある場合があります。Highly regulated: Some organizations may have a small amount of data that is highly classified, consititutes trade secrets, or is regulated data. Microsoft は、ID とデバイスの保護を追加するなど、組織がそのような要件を満たすための機能を提供しています。Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

セキュリティコーン-特定のお客様 > 一部のお客様 >。

このガイダンスでは、これらの各層の保護の id とデバイスの保護を実装する方法について説明します。This guidance shows you how to implement protection for identities and devices for each of these tiers of protection. 組織の出発点としてこのガイダンスを使用し、組織の特定の要件を満たすようにポリシーを調整します。Use this guidance as a starting point for your organization and adjust the policies to meet your organization's specific requirements.

データ、ID、デバイスをまたぎ、一貫性のある保護レベルを採用することが重要です。It’s important to use consistent levels of protection across your data, identities, and devices. たとえば、このガイダンスを実装する場合は、必ず同等のレベルでデータを保護してください。For example, if you implement this guidance, be sure to protect your data at comparable levels. これらのアーキテクチャモデルは、どの機能が同等であるかを示しています。These architecture models show you which capabilities are comparable.

Office 365 の ID とデバイス保護Identity and device protection for Office 365
ポスターのサムネイル「Office の Id とデバイスの保護365」Thumbnail for poster "Identity and device protection for Office 365"
PDF | Visio | その他の言語PDF | Visio | More languages

Office 365 のファイル保護ソリューションFile Protection Solutions in Office 365
ポスターのサムネイル「Office のファイル保護ソリューション」 (365)Thumbnail for poster "File protection solutions in Office 365"
PDF | VisioPDF | Visio

セキュリティと生産性の折り合いSecurity and productivity trade-offs

セキュリティ戦略を実装するには、セキュリティと生産性の間にトレードオフが必要です。Implementing any security strategy requires trade-offs between security and productivity. 各決定が、セキュリティ、機能、および使いやすさのバランスにどのように影響するかを評価するのに役立ちます。It's helpful to evaluate how each decision affects the balance of security, functionality, and ease of use.

セキュリティ、機能性、使いやすさのバランスを保つためのセキュリティの障害許容。

提供される推奨事項は、次の原則に基づいています。The recommendations provided are based on the following principles:

  • 対象ユーザーを認識し、セキュリティおよび機能要件に柔軟に対応します。Know your audience and be flexible to their security and functional requirements.
  • セキュリティポリシーを時刻だけに適用し、意味のあるものにします。Apply a security policy just in time and ensure it is meaningful.

Id とデバイスのアクセス保護のサービスと概念Services and concepts for identity and device access protection

Microsoft 365 Enterprise は大規模な組織向けに設計されており、Office 365 Enterprise、Windows 10 Enterprise、Enterprise Mobility + Security (EMS) を統合することにより、すべてのユーザーがクリエイティブに共同作業し、安全に共同作業を行うことができます。Microsoft 365 Enterprise is designed for large organizations and integrates Office 365 Enterprise, Windows 10 Enterprise, and Enterprise Mobility + Security (EMS), to empower everyone to be creative and work together securely.

このセクションでは、id とデバイスのアクセスにおいて重要な Microsoft 365 サービスと機能の概要について説明します。This section provides an overview of the Microsoft 365 services and capabilities that are important for identity and device access.

Microsoft Azure Active DirectoryMicrosoft Azure Active Directory

Azure AD には、id 管理機能の完全なスイートが用意されています。Azure AD provides a full suite of identity management capabilities. アクセスを保護するには、次の機能を使用することをお勧めします。For securing access we recommend using the following capabilities:

  • セルフサービスによるパスワードのリセット (SSPR): 管理者が制御できる複数の認証方法を確認することにより、ユーザーが自分のパスワードをセキュリティで保護し、ヘルプデスクの介入なしで再設定できるようにします。Self-service password reset (SSPR): Allow your users to reset their passwords securely and without helpdesk intervention, by providing verification of multiple authentication methods that the administrator can control.

  • 多要素認証 (mfa): mfa では、ユーザーパスワード、Microsoft Authenticator アプリまたは電話からの通知など、2つの形式の認証を提供する必要があります。Multi-factor authentication (MFA): MFA requires users to provide two forms of verification, such as a user password plus a notification from the Microsoft Authenticator app or a phone call. MFA は、盗まれた id を使用して Office 365 環境にアクセスできるリスクを大幅に削減します。MFA greatly reduces the risk that a stolen identity can be used to access your Office 365 environment.

  • 条件付きアクセス: Azure AD は、ユーザーログインの条件を評価し、アクセスを許可するために作成した条件付きアクセスポリシーを使用します。Conditional access: Azure AD evaluates the conditions of the user login and uses conditional access policies you create to allow access. たとえば、このガイダンスでは、機密データへのアクセスにデバイスのコンプライアンスを必要とする条件付きアクセスポリシーを作成する方法を示します。For example, in this guidance we show you how to create a conditional access policy to require device compliance for access to sensitive data. これにより、id が盗まれたハッカーが機密データにアクセスできるリスクが大幅に軽減されます。This greatly reduces the risk that a hacker with a stolen identity can access your sensitive data. また、デバイスは正常性とセキュリティの特定の要件を満たしているため、デバイス上の機密データも保護されます。It also protects sensitive data on the devices, because the devices meet specific requirements for health and security.

  • AZURE ad グループ: 条件付きアクセスルール、Intune を使用したデバイス管理、および組織内のファイルおよびサイトへのアクセス許可については、ユーザーまたは Azure AD グループへの割り当てを利用します。Azure AD groups: Conditional access rules, device management with Intune, and even permissions to files and sites in your organization, rely on assignment to user and/or Azure AD groups. 実装する保護のレベルに対応する Azure AD グループを作成することをお勧めします。We recommend you create Azure AD groups that correspond to the levels of protection you are implementing. たとえば、役員スタッフの方が、ハッカーの価値が高いと考えられます。For example, your executive staff are likely higher value targets for hackers. そのため、これらの従業員を Azure AD グループに割り当て、より高いレベルのアクセスを適用する条件付きアクセスポリシーとその他のポリシーにこのグループを割り当てることをお勧めします。Therefore, it makes sense to assign these employees to an Azure AD group and assign this group to conditional access policies and other policies that enforce a higher level of protection for access.

  • デバイスの登録: デバイスに id を提供するために、デバイスを Azure AD に登録します。Device registration: You register a device into Azure AD to provide an identity to the device. この id は、ユーザーがサインインして、ドメインに参加しているか、準拠している Pc を必要とする条件付きアクセスルールを適用するときに、デバイスを認証するために使用されます。This identity is used to authenticate the device when a user signs in and to apply conditional access rules that require domain-joined or compliant PCs. このガイダンスでは、device registration を使用して、ドメインに参加している Windows コンピューターを自動的に登録します。For this guidance, we use device registration to automatically register domain-joined Windows computers. デバイス登録は、Intune を使用してデバイスを管理するための前提条件です。Device registration is a prerequisite for managing devices with Intune.

  • AZURE Ad Identity protection: Azure Ad id 保護を使用すると、組織の id に影響を及ぼす可能性のある脆弱性を検出し、自動修復ポリシーを低、中、高のサインインリスクとユーザーのリスクに構成することができます。Azure AD Identity Protection: Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization’s identities and configure automated remediation policy to low, medium, and high sign-in risk and user risk. このガイダンスは、このリスク評価に基づいて、多要素認証の条件付きアクセスポリシーを適用します。This guidance relies on this risk evaluation to apply conditional access policies for multi-factor authentication. このガイダンスには、アカウントに対して高リスクのアクティビティが検出された場合にユーザーにパスワードの変更を要求する条件付きアクセスポリシーも含まれています。This guidance also includes a conditional access policy that requires users to change their password if high-risk activity is detected for their account.

Microsoft IntuneMicrosoft Intune

Intuneは、Microsoft のクラウドベースのモバイルデバイス管理サービスです。Intune is Microsoft’s cloud-based mobile device management service. このガイダンスでは、Intune を使用して Windows Pc のデバイスを管理することと、デバイスコンプライアンスポリシーの構成を推奨することをお勧めします。This guidance recommends device management of Windows PCs with Intune and recommends device compliance policy configurations. Intune は、デバイスが準拠しているかどうかを判断し、条件付きアクセスポリシーを適用するときに使用するために、このデータを Azure AD に送信します。Intune determines whether devices are compliant and sends this data to Azure AD to use when applying conditional access policies.

Intune アプリの保護Intune app protection

Intune アプリ保護ポリシーを使用して、モバイルアプリで組織のデータを保護できます。または、デバイスを管理者に登録することができます。Intune app protection policies can be used to protect your organization’s data in mobile apps, with or without enrolling devices into management. Intune では、Office 365 の情報を保護し、従業員の生産性を維持し、データ損失を防ぐことができます。Intune helps protect Office 365 information, making sure your employees can still be productive, and preventing data loss. アプリレベルのポリシーを実装することで、会社のリソースへのアクセスを制限し、データを IT 部門のコントロール内に保持することができます。By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.

このガイダンスは、承認済みアプリの使用を強制するために推奨されるポリシーを作成する方法と、これらのアプリをビジネスデータで使用する方法を決定する方法を示しています。This guidance shows you how to create recommended policies to enforce the use of approved apps and to determine how these apps can be used with your business data.

Office 365Office 365

このガイダンスでは、Exchange Online、SharePoint Online、OneDrive for business などの Office 365 へのアクセスを保護する一連のポリシーを実装する方法について説明します。This guidance shows you how to implement a set of policies to protect access to Office 365, including Exchange Online, SharePoint Online, and OneDrive for Business. これらのポリシーを実装するだけでなく、次のリソースを使用して Office 365 テナントの保護レベルも上げることをお勧めします。In addition to implementing these policies, we recommend you also raise the level of protection for your Office 365 tenant using these resources:

Windows 10 および Office 365 ProPlusWindows 10 and Office 365 ProPlus

Windows 10 および Office 365 ProPlus は、Pc に推奨されるクライアント環境です。Windows 10 and Office 365 ProPlus is the recommended client environment for PCs. Azure は、オンプレミスと Azure AD の両方に対して、最もスムーズな環境を提供するように設計されているため、Windows 10 をお勧めします。We recommend Windows 10, as Azure is designed to provide the smoothest experience possible for both on-premises and Azure AD. Windows 10 には、Intune で管理できる高度なセキュリティ機能も含まれています。Windows 10 also includes advanced security capabilities that can be managed through Intune. Office 365 ProPlus には、最新バージョンの Office アプリケーションが含まれています。Office 365 ProPlus includes the latest versions of Office applications. これらは先進認証を使用します。これは、より安全で、条件付きアクセスの要件です。These use modern authentication, which is more secure and a requirement for conditional access. これらのアプリには、強化されたセキュリティおよびコンプライアンスツールも含まれています。These apps also include enhanced security and compliance tools.

3つの保護層の間にこれらの機能を適用するApplying these capabilities across the three tiers of protection

次の表では、3つの保護層でこれらの機能を使用するための推奨事項を要約しています。The following table summarizes our recommendations for using these capabilities across the three tiers of protection.

保護メカニズムProtection mechanism 基準Baseline 機密Sensitive 高度な規制Highly regulated
MFA の強制Enforce MFA 中程度以上のサインイン リスクでOn medium or above sign-in risk 低以上のサインイン リスクでOn low or above sign-in risk すべての新しいセッションでOn all new sessions
パスワードの変更を強制するEnforce password change リスクの高いユーザーの場合For high-risk users リスクの高いユーザーの場合For high-risk users リスクの高いユーザーの場合For high-risk users
Intune アプリケーション保護を強制するEnforce Intune application protection はいYes はいYes はいYes
Intune 登録の強制 (COD)Enforce Intune enrollment (COD) PC に準拠しているか、ドメインに参加している必要がありますが、OD 電話/タブレットを許可するRequire a compliant or domain-joined PC, but allow BYOD phones/tablets 準拠しているまたはドメインに参加しているデバイスを必要とするRequire a compliant or domain-joined device 準拠しているまたはドメインに参加しているデバイスを必要とするRequire a compliant or domain-joined device

デバイスの所有権Device ownership

上記の表には、企業が所有するデバイスを混在させてサポートするための多くの組織の傾向と、個人または社内のデバイス (BYODs) をサポートしています。これにより、従業員全体にわたるモバイルの生産性が向上します。The above table reflects the trend for many organizations to support a mix of corporate-owned devices, as well as personal or bring-your-own devices (BYODs) to enable mobile productivity across the workforce. Intune アプリ保護ポリシーでは、企業所有のデバイスと BYODs の両方で、電子メールが Outlook mobile アプリおよびその他の Office モバイルアプリから exfiltrating から保護されていることを確認します。Intune app protection policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both corporate-owned devices and BYODs.

企業所有のデバイスを Intune またはドメインに参加させて管理し、追加の保護と制御を適用することをお勧めします。We recommend corporate-owned devices be managed by Intune or domain-joined to apply additional protections and control. データの機密性に応じて、特定のユーザー人口または特定のアプリに対しては、を使用しないようにすることもできます。Depending on data sensitivity, your organization may choose to not allow BYODs for specific user populations or specific apps.

次の手順Next steps

Id およびデバイスアクセスポリシーを実装するための前提条件Prerequisite work for implementing identity and device access policies