top of page
検索

Entra初心者ガイド - セキュリティ既定値群

  • Tsukimori
  • 6月11日
  • 読了時間: 5分

更新日:6月19日

■重要なポイント

①セキュリティ既定値群は、Microsoftが判断した最低限必要なセキュリティベースラインの設定パッケージのこと

②多要素認証要求が不都合なユーザーを除外することができない

③セキュリティ既定値群を[有効]にすると、高度なセキュリティ機能である「条件付きアクセス」が使用できない


■セキュリティ既定値群について

Entraを使い始めて最初に壁に当たるのが、セキュリティ既定値群とは何なのか?


Microsoftのドキュメントによると

セキュリティの既定値群を使用すると、今日の環境で一般的なパスワード スプレー、リプレイ、フィッシングなどの ID 関連の攻撃から組織を簡単に保護できます。
セキュリティの管理は難しい場合があるため、Microsoft では、すべてのユーザーが事前構成されたセキュリティの既定値群を使用できるようにしています。 Microsoft の知見によれば、これらの一般的な ID 関連攻撃の 99.9% 以上は、多要素認証を使ってレガシ認証をブロックすることで阻止されます。 Microsoft の目標は、すべての組織が追加の費用なしで少なくとも基本レベルのセキュリティを確実に有効にできるようにすることです。

要するに、Microsoftが判断した最低限必要なセキュリティベースラインの設定パッケージと理解できます。


2025年6月現在、セキュリティ既定値群の設定項目には、次のものが含まれています。

・すべてのユーザーに対して、多要素認証への登録を必須にする

・管理者に多要素認証の実行を要求する

・必要に応じてユーザーに多要素認証の実行を要求する

・レガシ認証プロトコルをブロックする

・Azure portal へのアクセスなどの特権が必要な作業を保護する


セキュリティ既定値群を[有効]にすることで、組織に必要なセキュリティベースラインを保つことが可能です。


また、2025年6月現在、新規でテナントを作成するとセキュリティ既定値群が自動的に[有効]になる仕様になっています。

2019 年 10 月 22 日以降に作成されたテナントの場合、セキュリティの既定値群がテナントで有効になっている可能性があります。 すべてのユーザーを保護するために、セキュリティの既定値群は、作成時にすべての新しいテナントにロールアウトされます。

■セキュリティ既定値群のデメリット

一見便利に思える、セキュリティ既定値群の自動有効化ですが、デメリットも存在します。

(1)多要素認証要求が不都合なユーザーを除外することができない

 ・ログイン時に携帯の使用ができないケースなど

(2)セキュリティ既定値群を[有効]にすると、高度なセキュリティ機能である「条件付きアクセス」が使用できない

 ・購入しているライセンスプランにもよりますが、危険と判断したサインイン試行に認証を追加要求するケース


特に(2)については、フィッシングによるユーザーの認証情報が窃取されたケースを考慮すると、「条件付きアクセス」は使用するべきだと思います。


■設定手順

(1)有効化

①Entra管理センターにログイン(https://entra.microsoft.com/)

 EdgeかChromeでEntra管理センターにアクセスし、ログインします。

 ログインするユーザーのロールは、グローバル管理者や条件付きアクセス管理者が必要です。

②[概要] > [プロパティ]の順に押下します。

③下にスクロールすると「セキュリティの既定値群」という項目がありますので、表示を確認します。

 a)お客様の組織は、セキュリティの既定値群で保護されています。:有効

 b)お客様の組織は、セキュリティの既定値群で保護されていません。:無効

 c)お客様の組織は現在、条件付きアクセスポリシーを使用しています。:無効


④b)の場合

 [セキュリティの既定値群の管理]を押下し、[無効]を[有効]に変更し、[保存]を押下します。

⑤c)の場合

 すべての条件付きアクセスポリシーを削除またはオフにすることで、画面表示がb)に代わります。


(2)無効化

 ※Entra Premium P1以上のライセンスを購入していない場合は、セキュリティの既定値群を無効化しないでください

①Entra管理センターにログイン(https://entra.microsoft.com/)

 EdgeかChromeでEntra管理センターにアクセスし、ログインします。

 ログインするユーザーのロールは、グローバル管理者や条件付きアクセス管理者が必要です。

②[概要] > [プロパティ]の順に押下します。

③下にスクロールすると「セキュリティの既定値群」という項目がありますので、下図の表示と同一か確認します。

④[セキュリティの既定値群の管理]を押下し、[有効]を[無効]に変更します。

 この時、無効にする理由は[組織では、条件付きアクセスの使用を計画しています] + [条件付きアクセスポリシーを有効にして、セキュリティの既定値群を置き換えます]を選択してください。

⑤[保存] > [無効化]の順に押下します。

⑥[保護] > [条件付きアクセス] > [ポリシー]の順に押下します。

⑦下図の通り、Microsoftによって作成された4つのポリシーの状態が[オン]になっていることを確認します。

※このとき、自動生成された4つの条件付きアクセスポリシーは、多要素認証の強度等の条件項目を変更することができません。

 よって、上記の4つのポリシーに関してセキュリティレベルを上げる設定変更を行う場合は、該当する条件付きアクセスポリシーを[オフ]にしてから同様の条件付きアクセスポリシーを手動作成する必要があります。


■まとめ

セキュリティ既定値群を無効化した際に自動的に生成される条件付きアクセスポリシーは、顧客側で柔軟に修正できるようにしてほしいですね。

Comentarios

Ya no es posible comentar esta entrada. Contacta al propietario del sitio para obtener más información.
bottom of page