Entra IDで見逃しがちなセキュリティ対策設定をまとめる

by .

はじめに

本記事ではEntraIDにおいて見逃しがちな(執筆者本人も見逃していた)セキュリティ対策関連の設定をまとめてみたいと思います。
EntraIDは企業のID管理を行うための強力な基盤として入念な設計の元に導入されているケースも有れば、Microsoft AzureやMicrosoft 365のライセンスを購入した際に既定で作成されるためあまり意識せずに導入されているケースもあると思います。特に後者においてはEntraIDを利用しているという意識が低下しがちで、詳細な設定値についても既定のまま放置されてしまっており、それが脆弱性につながっているケースも有るかと思います。

補足として、EntraIDの既定値はEntraIDを作成した時期によって細かいところが異なっているケースが有りますので、本記事はあくまで今回私が直面した環境の設定に基づいて記事を書き進めていきます。その点についてはご了承ください。また本記事の内容はEntra ID Free版で利用できる設定に限定して記載してきます。

それでは以下にて、具体的な設定項目とその意味、そして推奨される値についてご紹介していきたいと思います。

設定例①:ユーザーごとのMFA

■設定箇所
・Azure ポータルのメニューから[Microsoft Entra ID] – [ユーザー] – [すべてのユーザー] – [ユーザーごとのMFA]をクリックします。
・[状態]が[無効]のユーザーを選択し、[MFAを有効にする]-[有効にする]でMFAを有効にすることができます。

■設定値についての説明
Entra IDにて多要素認証を有効にするには、AzureADPremiumP1/P2ライセンスが有る場合には条件付きアクセスの設定にて、MFAを構成することができますが、AzureADFreeの場合にはセキュリティの既定値群の設定にはMDAを有効化する方法が有ります。しかし、この方法ではユーザー毎に個別に設定をすることができないため、代わりに「ユーザーごとのMFA」の設定にて、ユーザーごとにMFAを有効にすることができます。

設定例②:信頼済みデバイスでユーザーが多要素認証を記憶できるようにする

■設定箇所
・Azure ポータルのメニューから[Microsoft Entra ID] – [ユーザー] – [すべてのユーザー] – [ユーザーごとのMFA]をクリックします。
・[Service settings]をクリックします。
・[信頼済みデバイスで多要素認証を記憶する]のチェックを外します。

■設定値についての説明
[多要素認証を記憶する]の設定の場合、サインインに成功後の一定の期間は多要素認証を行わずにサインインできますが、デバイスやアカウントが攻撃された場合に多要素認証をスキップされる可能性があります。そのためセキュリティ面を重視する場合はチェックを外すことが推奨されます。

設定例③:管理者以外のユーザーによるテナントの作成を制限する

■設定箇所
・Azure ポータルのメニューから[Microsoft Entra ID] – [ユーザー] – [ユーザー設定]をクリックします。
・[既定のユーザーロールのアクセス許可]-[管理者以外のユーザーによるテナントの作成を制限する]を有効にして[保存]をクリックします。

■設定値についての説明
予期せず不要なEntraIDテナントが作成されることを防止するために、本設定を有効として管理以外のユーザーによるテナント作成を制限することが推奨されます。

設定例④:ユーザーはアプリケーションを登録できる

■設定箇所
・Azure ポータルのメニューから[Microsoft Entra ID] – [ユーザー] – [ユーザー設定]をクリックします。
・[ユーザーはアプリケーションを登録できる]で[いいえ]を選択し、[保存]をクリックします。

■設定値についての説明
任意のユーザーがカスタム開発したアプリケーションをEntraIDに登録することを防止し、管理者のみがアプリケーションを登録できるようになります。

設定例⑤:Microsoft Entra IDを使用してデバイスを登録または参加させるには、多要素認証が必要です

■設定箇所
・Azure ポータルのメニューから[Microsoft Entra ID] – [デバイス] – [管理] – [デバイスの設定]-[Microsoft Entra の参加と登録の設定]-[Microsoft Entra を使用してデバイスを登録または参加させるには、多要素認証が必要です]で[はい]を選択して[保存]をクリックします。

■設定値についての説明
Microsoft Entra IDにデバイスを登録する場合に多要素認証を要求にすることで、不正なデバイスがEntra IDに登録されることを防止します。

まとめ

ここまでEntraIDについて、いくつかのセキュリティ面強化のための設定値を紹介してきました。セキュリティ面の強化と利用の快適性はトレードオフの関係にあるため、ここで紹介した設定を全て実施することが必ずしも要件に合致しないことは有るかと思います。あくまで一例として参考にしていただければ幸いです。

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください