Entra ID の多要素認証（Japan Microsoft 365 コミュニティ カンファレンス 2024 ）

Transcript

1. #JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の多要素認証 村地 彰（Murachi

   Akira aka hebikuzure） 株式会社エクシード・ワン テクニカル フェロー / Microsoft Most Valuable Professional B03

2. #JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワン テクニカルフェロー

   ▪ 株式会社シーピーエス 技術 教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ 非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティ カンファレンス 2024 2

3. #JapanM365CC2024 Entra ID の多要素認証 Microsoft 365 管理センターの多要素認証必須化に備えて

4. #JapanM365CC2024 アジェンダ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段

   • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証 ▪ まとめ

5. #JapanM365CC2024 多要素認証とは

6. #JapanM365CC2024 パスワード認証のリスク ▪ パスワードはユーザーが設定するので 弱いパスワード 推測されやすいパスワード が利用される可能性がある ▪ パスワードの使い回し 別の場所で漏洩したパスワードが攻撃者に利用される

   ▪ フィッシング、ハッキング、ソーシャルエンジニアリング パスワードが盗み取られる Japan Microsoft 365 コミュニティ カンファレンス 2024 6

7. #JapanM365CC2024 侵害の事例 ▪ パスワード認証のみの構成で不正アクセスされる事例が多い Japan Microsoft 365 コミュニティ カンファレンス 2024

   7

8. #JapanM365CC2024 侵害の事例（１） Japan Microsoft 365 コミュニティ カンファレンス 2024 8 https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000005001

9. #JapanM365CC2024 侵害の事例（２） Japan Microsoft 365 コミュニティ カンファレンス 2024 9 https://www.my-pharm.ac.jp/news/uploads/Report_SecurityIncident_0604.pdf

10. #JapanM365CC2024 侵害の事例（３） Japan Microsoft 365 コミュニティ カンファレンス 2024 10 https://m-sol.co.jp/news/information/202403notice/

11. #JapanM365CC2024 多要素認証（MFA） ▪ Multi Factor Authentication ▪ 複数の認証要素を組み合わせて認証を行う方式 ▪ ユーザーに最低２種類の認証要素を求める

    Japan Microsoft 365 コミュニティ カンファレンス 2024 11

12. #JapanM365CC2024 複数の認証要素 ▪ 知識情報（Know） • 認証を求めるユーザーが知っていること ▪ 所持情報（Have） • 認証を求めるユーザーが持っているもの

    ▪ 生体情報（Is） • 認証を求めるユーザー自身の身体的特徴 Japan Microsoft 365 コミュニティ カンファレンス 2024 12

13. #JapanM365CC2024 知識情報（Know） ▪ 認証を求めるユーザーが知っていること • パスワード • パスフレーズ • PIN

    • 暗証番号 Japan Microsoft 365 コミュニティ カンファレンス 2024 13

14. #JapanM365CC2024 所持情報（Have） ▪ 認証を求めるユーザーが持っているもの • 携帯電話 • ハードウェア トークン •

    （物理的な）鍵 • 乱数表カード Japan Microsoft 365 コミュニティ カンファレンス 2024 14

15. #JapanM365CC2024 生体情報（Is） ▪ 認証を求めるユーザー自身の身体的特徴 • 指紋 • 掌紋 • 虹彩

    • 静脈パターン • 顔 Japan Microsoft 365 コミュニティ カンファレンス 2024 15

16. #JapanM365CC2024 二段階認証・多段階認証 ▪ パスワードに加えてもう一つ以上の認証情報を要求すること ▪ 多要素認証と異なり複数の要素を求めなくとも良い ▪ 例：パスワードに加えて「秘密の質問」を要求する ⇒どちらも「知識情報」の要求 Japan

    Microsoft 365 コミュニティ カンファレンス 2024 16

17. #JapanM365CC2024 多要素認証の効果 ▪ パスワードだけでは認証されない ▪ 弱いパスワードの利用時 • パスワードが推測されても認証されない ▪ パスワードが盗まれた場合

    • パスワードが盗まれても認証されない ▪ パスワードが流出した場合 • パスワードが流出しても認証されない Japan Microsoft 365 コミュニティ カンファレンス 2024 17

18. #JapanM365CC2024 Entra ID の多要素認証

19. #JapanM365CC2024 Entra ID の多要素認証 ▪ 1段階目の認証（プライマリ認証） ▪ 2段階目の認証（セカンダリ認証） ▪ それぞれの段階で利用できる認証方法が決まっている

    Japan Microsoft 365 コミュニティ カンファレンス 2024 19

20. #JapanM365CC2024 利用できる主な認証手段 Japan Microsoft 365 コミュニティ カンファレンス 2024 20 手段

    プライマリ認証 セカンダリ認証 パスワード 〇 × SMS ▲ 〇 〇 音声通話 ▲ × 〇 Microsoft Authenticator パスワードレス 〇 × * Microsoft Authenticator プッシュ通知 × 〇 Authenticator Lite × 〇 Passkey (FIDO2) 〇 〇 OATH ソフトウェア トークン（TOTP） × 〇 Windows Hello for Business 〇 〇 電子証明書 〇 〇

21. #JapanM365CC2024 OATH ▪ ワンタイムパスワード（OTP）を生成するハードウェアやソフトウェアの 国際標準規格（であり、その規格を推進する団体でもある） ▪ ワンタイムパスワードの生成アルゴリズムにより、以下の2種類のワンタイム パスワードが既定されている • OATH-HOTP（HMAC-Based

    One-time Password） ユーザーが決めたパスコード（シークレット）とOTPの生成回数をもとに OTPを生成する方式 Entra ID ではサポートされない • OATH-TOTP（Time-based One-time Password） 現在時刻と共有シークレットに基づいてOTP を生成する方式 Japan Microsoft 365 コミュニティ カンファレンス 2024 21

22. #JapanM365CC2024 TOTP ▪ 現在時刻と共有シークレットに基づいて生成されるワンタイム パスワードを利用する認証方式 ▪ 生成された OTP は一定時間だけ有効 ▪

    Entra ID では OATH 規格のソフトウェア トークンで生成された TOTP に対 応 （ハードウェア トークンの TOTP はプレビュー） ▪ ソフトウェア トークンとして利用可能なアプリの例 • Microsoft Authenticator • Google Authenticator Japan Microsoft 365 コミュニティ カンファレンス 2024 22

23. #JapanM365CC2024 Microsoft Authenticator の TOTP ▪ 登録されているアカウントをタップすると、 TOTP が表示される ▪

    30秒ごとに新しい TOTP が生成される ▪ 新しい TOTP が生成されると、１つ前の TOTP は 無効になる ▪ AWS アカウント、X（旧 Twitter）アカウント、 Facebook アカウント、Google アカウントなどの 多要素認証でも利用可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 23

24. #JapanM365CC2024 Microsoft Authenticator パスワードレス ▪ パスワードを利用しない認証方法 ▪ Entra ID に登録され

    MDM で管理されているデバイスでのみ利用可能 • デバイスで PIN、パスワード、または生体認証による画面ロックを構成 • Microsoft Authenticator の利用には画面ロックの解除が必須 ▪ サインイン画面に表示される２桁のコードを Authenticator の通 知に入力して認証 Japan Microsoft 365 コミュニティ カンファレンス 2024 24

25. #JapanM365CC2024 パスワードレス認証の安全性 ▪ 単独でデバイスの所持（所有情報）と知識情報（PIN・パスワード） または生体情報の２要素を要求する ▪ パスワードが無い Japan Microsoft 365

    コミュニティ カンファレンス 2024 25

26. #JapanM365CC2024 Microsoft Authenticator プッシュ通知 ▪ サインイン画面に表示される２桁のコードを Authenticator の通知に入力 して認証 Japan

    Microsoft 365 コミュニティ カンファレンス 2024 26

27. #JapanM365CC2024 パスワードレスとプッシュ通知の違い ▪ パスワードレス • MDM での管理デバイスでのみ利用可能 • Authenticator の利用に

    PIN、パスワード、または生体認証による 画面ロックの解除が必須 ▪ プッシュ通知 • 非管理デバイスでも利用可能 • Authenticator の利用で画面ロックの解除は必須でない （ Authenticator の設定で画面ロック解除を求めることは可能） • プライマリ認証に使用不可 Japan Microsoft 365 コミュニティ カンファレンス 2024 27

28. #JapanM365CC2024 Authenticator Lite ▪ Outlook モバイルアプリで利用できる Microsoft Authenticator の 簡易版

    ▪ プッシュ通知と TOTP ソフトウェアトークンとして利用可能 ▪ 2024年6月26日以降、既定で有効になっています Outlook モバイルに対して Microsoft Authenticator Lite を有効にする方 法 - Microsoft Entra ID | Microsoft Learn Japan Microsoft 365 コミュニティ カンファレンス 2024 28

29. #JapanM365CC2024 Authenticator Lite のプッシュ通知 Japan Microsoft 365 コミュニティ カンファレンス 2024

    29

30. #JapanM365CC2024 Windows Hello for Business ▪ Entra ID 参加した Windows

    デバイスでのみ利用可能 ▪ デバイス（Windows）に表示される通知で PIN または生体認証を行う ▪ 「デバイスに登録されたキーや証明書」＋「PIN（知識情報）または指紋や 顔（生体情報）」で認証 ▪ 単独で多要素認証となる Japan Microsoft 365 コミュニティ カンファレンス 2024 30

31. #JapanM365CC2024 多要素認証を 有効にする

32. #JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証（非推奨）

    Japan Microsoft 365 コミュニティ カンファレンス 2024 32

33. #JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証（非推奨）

    Japan Microsoft 365 コミュニティ カンファレンス 2024 33

34. #JapanM365CC2024 セキュリティの既定値群 ▪ 一般的なパスワード侵害から、簡単な手順で組織を保護できる • パスワードスプレー攻撃 • リプレイ攻撃 • フィッシング

    • ソーシャルエンジニアリング ▪ 構成すれば自動的にセキュリティ強化の構成が有効になる Japan Microsoft 365 コミュニティ カンファレンス 2024 34

35. #JapanM365CC2024 セキュリティの既定値群の構成 ▪ 多要素認証の登録：すべてのユーザーに対して必須 ▪ 管理者の多要素認証：管理者に実行を要求 • 特権作業（管理センターへのアクセスなど）の保護 ▪ ユーザーの多要素認証：必要に応じて実行を要求

    • 不審なサインインアクティビティの保護 • 通常とは異なる場所からのサインインに対して多要素認証を要求 ▪ レガシ認証プロトコルのブロック（以下例） • Exchange Active Sync 基本認証 • IMAP、SMTP、POP3 などの古いメール プロトコル • 先進認証を使用していないクライアント (Office 2010 クライアントなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 35

36. #JapanM365CC2024 セキュリティの既定値群の既定値 ▪ 2019 年 10 月 21 日以降に作成されたテナント： 既定で有効

    ▪ それ以前に作成されたテナント： 2022 年 6 月末移行有効化が促されています ▪ 明示的にオプトアウトしていない場合、自動的 に有効化されている場合があります Japan Microsoft 365 コミュニティ カンファレンス 2024 36

37. #JapanM365CC2024 セキュリティの既定値群の有効化/無効化 ▪ Microsoft Entra 管理センターにアクセス ▪ [ID] – [概要]

    – [プロパティ] Japan Microsoft 365 コミュニティ カンファレンス 2024 37 [セキュリティの既定値の管理]

38. #JapanM365CC2024 有効/無効の切り替え Japan Microsoft 365 コミュニティ カンファレンス 2024 38 無効化する場合はその理由の

    フィードバックが必須

39. #JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証（非推奨）

    Japan Microsoft 365 コミュニティ カンファレンス 2024 39

40. #JapanM365CC2024 条件付きアクセス リソースへのアクセスに対して 1. シグナルを確認 2. 決定を行う 3. ポリシーを適用する ことで、アクセス制御を行う仕組み

    Japan Microsoft 365 コミュニティ カンファレンス 2024 40

41. #JapanM365CC2024 シグナル ▪ ユーザーまたはグループ メンバーシップ ▪ アクセス元の IP アドレス ▪

    アクセスに使用されているデバイス ▪ アクセス先のアプリケーション ▪ 検出されたリスク Japan Microsoft 365 コミュニティ カンファレンス 2024 41

42. #JapanM365CC2024 決定 ▪ アクセスのブロック • 最も制限の厳しい決定 ▪ アクセス権の付与（以下の条件を付けることが可能） • 多要素認証を要求する

    • 認証強度が必要 • デバイスは準拠としてマーク済みである必要がある • Microsoft Entra ハイブリッド参加済みデバイスが必要 • 承認済みクライアント アプリを必須にする • アプリの保護ポリシーを必須にする • パスワードの変更を必須とする • 利用規約が必須 Japan Microsoft 365 コミュニティ カンファレンス 2024 42

43. #JapanM365CC2024 条件付きアクセスのメリット ▪ 不正アクセスからの保護・セキュリティの向上 ▪ ゼロトラスト セキュリティへの対応 ▪ 多要素認証の要求 ▪

    柔軟なポリシー設定 ▪ 生産性の向上 Japan Microsoft 365 コミュニティ カンファレンス 2024 43

44. #JapanM365CC2024 条件付きアクセスのユースケース ▪ 管理者の役割を持つユーザーに多要素認証を要求する ▪ Azure 管理タスクに多要素認証を要求する ▪ レガシ認証プロトコルを使用しようとしているユーザーのサインインをブ ロックする

    ▪ セキュリティ情報の登録に信頼できる場所を要求する ▪ 特定の場所からのアクセスをブロックまたは許可する ▪ リスクの高いサインイン動作をブロックする ▪ 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする Japan Microsoft 365 コミュニティ カンファレンス 2024 44

45. #JapanM365CC2024 条件付きアクセスの構成 ▪ [Entra 管理センター] – [ID] – [保護] –

    [条件付きアクセス] Japan Microsoft 365 コミュニティ カンファレンス 2024 45

46. #JapanM365CC2024 ポリシーの構成 ▪ ポリシーを作成して有効化する ▪ 詳しくは以下参照 Microsoft Entra 多要素認証を有効にする -

    Microsoft Entra ID Japan Microsoft 365 コミュニティ カンファレンス 2024 46

47. #JapanM365CC2024 条件付きアクセスのライセンス ▪ Entra ID P1 または P2 ライセンスが必要 *

    ▪ Entra ID P1 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 Business Premium • Microsoft 365 E3 ▪ Entra ID P2 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 E5 Japan Microsoft 365 コミュニティ カンファレンス 2024 47 * リスク ベースのシグナルを利用したポリシーの構成には P2 ライセンスが必要

48. #JapanM365CC2024 管理ポータルに必須の 多要素認証

49. #JapanM365CC2024 管理ポータルでの多要素認証の必要性 ▪ テナントのセキュリティを高める • 特権アカウントの侵害のリスクを低減する • テナントのユーザー・データ・コンテンツを保護する Japan Microsoft

    365 コミュニティ カンファレンス 2024 49

50. #JapanM365CC2024 多要素認証必須化のスケジュール ▪ 2024年10月15日 • Microsoft Azure ポータル • Microsoft

    Entra 管理センター • Microsoft Intune 管理センター ▪ 2025年2月3日 • Microsoft 365 管理センター （各サービスの管理センターを含む） Japan Microsoft 365 コミュニティ カンファレンス 2024 50

51. #JapanM365CC2024 必須化の延期 ▪ 申請で必須化の延期は可能 • 「延期」であって、必須化の除外ではない ▪ https://aka.ms/managemfaforazure から申請 ▪

    詳細は以下参照 MC862873 - Azure ポータル (および Azure CLI 等) の MFA 義務付けの延 長申請について | Japan Azure Identity Support Blog Japan Microsoft 365 コミュニティ カンファレンス 2024 51

52. #JapanM365CC2024 Call to action

53. #JapanM365CC2024 必須の多要素認証に備える ▪ 「セキュリティの既定値群」が無効・条件付きアクセス未構成なら、 ただちに「セキュリティの既定値群」を有効に！ ▪ 「セキュリティの既定値群」が組織の要件に合わない場合 • 条件付きアクセスを構成する •

    Entra ID P1/P2 ライセンスが無い場合は、アドオンまたは上位の Microsoft 365 サブスクリプションへのアップグレードを検討する

54. #JapanM365CC2024 まとめ

55. #JapanM365CC2024 まとめ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段

    • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証

56. #JapanM365CC2024 56 フィードバックにご協力ください ご視聴をありがとうございました! 運営チームメンバー、登壇者、サポートメンバーに対する 暖かいフィードバックをお待ちしております。 次回の開催は未定ですが、フィードバックの内容によっては次回の開催も検討いたします。 イベント全体に対するアンケート 本セッションついて参考になった点や 感銘を受けた点、もっと知りたかったことなどをお寄せください。

    本セッションに対するアンケート