Microsoft Entra レコメンデーションとは
テナント内のすべての設定とリソースを追跡することは、大仕事になる可能性があります。 Microsoft Entra のレコメンデーション機能は、テナント状態の監視を支援します。そのため、人が監視する必要はありません。 これらの推奨事項は、テナントを安全で正常な状態にするのに役立ち、Microsoft Entra ID で利用できる機能の価値を最大限に高めるのにも役立ちます。
Microsoft Entra の推奨事項には、"ID セキュリティ スコア" に関する推奨事項が含まれるようになりました。 これらの推奨事項では、テナントのセキュリティに関する同様の分析情報を提供します。 詳しくは、「ID セキュリティ スコアとは」をご覧ください。
これらの Microsoft Entra の推奨事項のすべてで、以下のことを行うための実行可能なガイダンスに関するパーソナライズされた分析情報が提供します。
- Microsoft Entra 関連の機能のベスト プラクティスを実装する機会の特定を支援します。
- Microsoft Entra テナントの状態を改善する。
- シナリオに合わせて構成を最適化します。
この記事では、Microsoft Entra のレコメンデーションを使用する方法の概要について説明します。
それはどのように機能しますか?
毎日、Microsoft Entra ID ではテナントの構成を分析します。 この分析の間に、Microsoft Entra ID は、お客様のテナントの構成と、セキュリティのベスト プラクティスおよび推奨事項のデータを比較します。 お客様のテナントに適用できることを示すフラグが設定されている推奨事項は、Microsoft Entra の ID の概要領域にある [推奨事項] セクションに表示されます。
![[レコメンデーション] オプションが強調表示されているテナントの [概要] ページのスクリーンショット。](media/overview-recommendations/recommendations-overview.png)
各レコメンデーションには、説明、レコメンデーションに対処する値の概要、およびステップバイステップのアクション プランが含まれています。 該当する場合は、推奨事項に関連付けられている影響を受けるリソースが一覧表示されるため、影響を受けるそれぞれの領域を解決できます。 レコメンデーションにリソースが関連付けられていない場合、テナント レベルが影響を受けるリソースの種類になり、ステップ バイ ステップのアクション プランは、特定のリソースだけでなく、テナント全体に影響します。
推奨事項の概要テーブル
次の表に示されている推奨事項は、現在、パブリック プレビューまたは一般提供されています。また、推奨事項が対象とするリソースの種類やその他の情報が含まれています。 パブリック プレビューでのレコメンデーションのライセンス要件は変わる場合があります。 この表では、個別のガイダンスが必要な推奨事項に関する利用可能なドキュメントへのリンクを示します。
| 推奨 | 影響を受けるリソース | 可用性 | ID セキュリティ スコア | 電子メール通知のターゲット ロール |
|---|---|---|---|---|
| AAD Connect の非推奨 | テナント | プレビュー | いいえ | ハイブリッド ID の管理者 |
| ユーザーごとの MFA を条件付きアクセス MFA に変換する | ユーザー | 一般公開 | いいえ | セキュリティ管理者 |
| 複数の全体管理者を指定する | ユーザー | 一般公開 | はい | 全体管理者 |
| 信頼性の低いアプリケーションへの同意をユーザーに許可しない | テナント | プレビュー | はい | 全体管理者 |
| パスワードを有効期限切れにしない | テナント | プレビュー | はい | 全体管理者 |
| パスワード ハッシュ同期を有効にする(ハイブリッド型を使用している場合) | テナント | 一般公開 | はい | ハイブリッド ID の管理者 |
| レガシ認証をブロックするポリシーを有効にする | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| セルフサービス パスワード リセットを有効にする | ユーザー | プレビュー | はい | 認証ポリシー管理者 |
| すべてのユーザーが多要素認証を完了できるようにする | ユーザー | プレビュー | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| アプリケーションでの有効期間が長い認証情報 | アプリケーション | プレビュー | いいえ | 全体管理者 |
| AD FS から Microsoft Entra ID にアプリケーションを移行する | アプリケーション | 一般公開 | いいえ | アプリケーション管理者、認証管理者ハイブリッド ID 管理者 |
| 廃止された Azure AD Graph API から Microsoft Graph にアプリケーションを移行する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| ADAL から MSAL への移行 | アプリケーション | 一般公開 | いいえ | アプリケーション管理者 |
| MFA サーバーから Microsoft Entra MFA に移行する | テナント | 一般提供 | いいえ | 全体管理者 |
| 廃止された Azure AD Graph API から Microsoft Graph にサービス プリンシパルを移行する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| Microsoft Authenticator に移行する | ユーザー | プレビュー | いいえ | 全体管理者 |
| 既知のデバイスからの MFA プロンプトを最小限に抑える | ユーザー | 一般公開 | いいえ | 全体管理者 |
| サインイン リスク ポリシーを使用してすべてのユーザーを保護する | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| ユーザー リスク ポリシーを使用してすべてのユーザーを保護する | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| Insider Risk 条件付きアクセス ポリシーを使用してテナントを保護 | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| アプリケーションの特権を超えるアクセス許可を削除する | アプリケーション | プレビュー | いいえ | 全体管理者 |
| 未使用のアプリケーションを削除する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| アプリケーションから未使用の資格情報を削除する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| アプリ構成で未使用のリダイレクト URI を削除する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| 期限切れ間近のアプリケーションの資格情報を更新する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| 期限切れ間近のサービス プリンシパルの資格情報を更新する | アプリケーション | プレビュー | いいえ | アプリケーション管理者 |
| 管理者ロールに対して MFA を必須にする | ユーザー | 一般公開 | はい | 条件付きアクセス管理者、セキュリティ管理者 |
| アクセス レビュー - 非アクティブなユーザーのレビュー | ユーザー | プレビュー | いいえ | Identity Governance 管理者 |
| 自動ユーザーとグループのプロビジョニングを使用してアプリをセキュリティで保護し、管理する | アプリケーション | プレビュー | いいえ | アプリケーション管理者、IT ガバナンス管理者 |
| 正しく構成されていないマルチテナント アプリケーション のサインイン対象ユーザーを更新する | アプリケーション | プレビュー | 今 | アプリケーション管理者 |
| 最小限の特権管理ロールを使用する | ユーザー | プレビュー | はい | 特権ロール管理者 |
| アプリの発行元を確認する | アプリケーション | プレビュー | いいえ | 全体管理者 |
Microsoft Entra にはテナントに適用される推奨事項のみが表示されるため、サポートされているすべての推奨事項が表示されない場合があります。
アイデンティティ セキュリティ スコア
ページの先頭に表示される ID セキュリティ スコアは、テナントの正常性を数値で表したものです。 ID セキュリティ スコアに適用される推奨事項には、ページの下部にあるテーブルで個別のスコアが示されます。 セキュリティ フィルター カードを使用して、推奨事項の一覧をフィルター処理して、ID セキュリティ スコアの推奨事項のみを表示できます。 ID セキュリティ スコアの推奨事項には、複数のセキュリティ要因に基づいて全体的なスコアとして計算される "セキュリティ スコア ポイント" が含まれます。
これらのスコアが加算され、ID セキュリティ スコアが生成されます。 詳しくは、「ID セキュリティ スコアとは」をご覧ください。
Microsoft Entra の推奨事項は Azure Advisor に関連していますか?
Microsoft Entra のレコメンデーション機能は、Azure Advisor の Microsoft Entra 固有の実装であり、Azure デプロイを最適化するためのベスト プラクティスに従うのに役立つ、パーソナライズされたクラウド コンサルタントです。 Azure Advisor は、リソースの構成と使用データを分析し、Azure リソースの費用対効果、パフォーマンス、信頼性、およびセキュリティを向上させるのに役立つソリューションを推奨します。
Microsoft Entra のレコメンデーションでは、同様のデータを使用して、Microsoft Entra テナント用の Microsoft のベスト プラクティスのロールアウトと管理をサポートし、テナントを安全で正常な状態に保ちます。 Microsoft Entra の推奨事項機能は、テナントのセキュリティ、正常性、使用状況に関する包括的な視点を提供します。
電子メール通知 (プレビュー)
Microsoft Entra の推奨事項では、新しい推奨事項が生成されたときに電子メールによる通知が生成されるようになりました。 この新しいプレビュー機能は、推奨事項ごとに事前に定義されたロールのセットに電子メールを送信します。 たとえば、テナントのアプリケーションの正常性に関連付けられている推奨事項は、アプリケーション管理者ロールを持つユーザーに送信されます。
組織が Privileged Identity Management (PIM) を使用している場合、受信者は、電子メールによる通知を受信するために指定されたロールに昇格する必要があります。 ロールにアクティブに割り当てられているユーザーがいない場合、電子メールは送信されません。 このため、推奨事項を定期的にチェックして、新しい推奨事項を確実に把握することをお勧めします。