Essential8 MFA 条件付きアクセス ポリシーを構成する
この記事では、特定の成熟度レベルの要件を満たすために、Microsoft Entra IDで条件付きアクセス ポリシーを構成する方法について説明します。
注:
- 次の MFA ポリシーの除外を作成しないでください (たとえば、場所、デバイスの状態に基づいて除外しないでください)。
- Windows ストア for Business アプリケーションに MFA が必要な場合、Windows ライセンス認証に関する既知の問題があります。 暫定的な回避策は、条件付きアクセス ポリシーからこのアプリケーションを除外することです。
条件付きアクセス ポリシーを作成するには。
- Microsoft Entra 管理センター>Microsoft Entra 管理センターに移動します。
- [ 保護>条件付きアクセス>新しいポリシーを作成する] を選択します。
- 必要な満期日レベルのポリシーを構成します。
- [ポリシーの有効化] を [オン] に設定し、[作成] を選択します。
成熟度レベル 1
- 名前: ACSC Essential8 MFA – 成熟度レベル 1
- ユーザー:
- 含める: すべてのユーザー
- クラウド アプリ:
- 含める: すべてのクラウド アプリ
- 条件: なし
- 許可: 認証強度が必要
- Essential8 MFA 認証強度の構成に関するページで作成された成熟度レベル 1 に対して定義されている 認証強度を選択します。
成熟度レベル 2 & 3
- 名前: ACSC Essential8 MFA – 成熟度レベル 2 & 3
- ユーザー:
- 含める: すべてのユーザー
- クラウド アプリ:
- 含める: すべてのクラウド アプリ
- 条件: なし
- 許可: 認証強度が必要
- Essential8 MFA 認証強度の構成に関するページで作成された成熟度レベル 2 & 3 に対して定義されている 認証強度を選択します。
Microsoft の推奨事項
成熟度レベルの条件付きアクセス ポリシーに加えて、次のコントロールを実装することをお勧めします。
準拠しているデバイスまたはハイブリッド参加済みデバイスを要求する
準拠 Microsoft Entraしている、またはハイブリッド参加済みデバイス (デスクトップとモバイル) にサインインを制限することで、どの成熟レベルでもフィッシング対策を実現できます。 この制御はすべての成熟度レベルに対して推奨され、organizationが所有するすべてのデバイスに適用する必要があります。 可能であれば、このコントロールは、独自のデバイス (BYOD) デバイスを持ち込むにも適用する必要があります。
このガイドに従って、ハイブリッド参加済みデバイスまたはMicrosoft Entraハイブリッド参加済みデバイスの要求を有効にします。
レガシ認証をブロックする
レガシ認証プロトコルは最新の認証をサポートしていないため、資格情報の盗難攻撃に対して脆弱です。 資格情報の盗難攻撃のリスクを軽減するために、レガシ認証プロトコルをブロックすることをお勧めします。
レガシ認証をブロックするには、次のガイドに従います。
休止状態のアカウントの多要素認証の引き継ぎから保護する
多要素認証に登録されていない休止状態のアカウントは、多要素認証の引き継ぎ攻撃の影響を受ける可能性があります。 ユーザーがユーザー オンボード フローの一部として多要素認証を確実に設定するように MFA 登録ポリシーを構成することをお勧めします。
多要素認証登録アクティビティ レポートを定期的に確認することで、多要素認証に登録されていない休止状態のアカウントを特定します。 Microsoft Entra ID ガバナンスなどの ID ガバナンス ソリューションを使用して、休止状態のアカウントのレビューを自動化できます。
Microsoft Entra セキュリティの既定値
Microsoft Entra ID P1 または P2 ライセンスを持たないテナントMicrosoft Entra、Microsoft Entra セキュリティの既定値を有効にすることで、ACSC Essential Eight の成熟度レベル 1 を達成できます。
セキュリティの既定値の有効化に関するガイダンスについては、「Microsoft Entra IDでのセキュリティの既定のレベルの提供」を参照してください。