Microsoft Entra ID での認証方法の保護
手記
Authenticator Lite の Microsoft マネージド値は、2023 年 6 月 26 日に無効から有効に移行されます。 既定の状態である Microsoft マネージドのままになっているすべてのテナントは、6 月 26 日に機能が有効化されます。
Microsoft Entra ID は、増加する攻撃から顧客を保護するために、セキュリティ機能を追加および改善します。 新しい攻撃ベクトルが既知になると、Microsoft Entra ID は既定で保護を有効にすることで対応でき、お客様が新たなセキュリティの脅威に先んじるのに役立ちます。
たとえば、MFA 疲労攻撃の増加を受け、Microsoft ではお客様がユーザーを防御する方法を推奨しています。 ユーザーが誤って多要素認証 (MFA) の承認を受けないようにする 1 つの推奨事項は、番号照合を有効にすることです。 その結果、数値照合の既定の動作は、すべての Microsoft Authenticator ユーザーに対して、明示的に有効 となります。 番号照合などの新しいセキュリティ機能の詳細については、Microsoft Authenticator の高度なセキュリティ機能が一般公開 ブログ記事を参照してください。.
セキュリティ機能の保護を既定で有効にするには、次の 2 つの方法があります。
- セキュリティ機能がリリースされた後、お客様は Microsoft Entra 管理センターまたは Graph API を使用して、自分のスケジュールに従って変更をテストおよびロールアウトできます。 新しい攻撃ベクトルから防御するために、Microsoft Entra ID は、特定の日付のすべてのテナントに対して既定でセキュリティ機能の保護を有効にすることができ、保護を無効にするオプションはありません。 Microsoft では、お客様が変更に備える時間を与えるために、既定の保護を事前にスケジュールします。 Microsoft が既定で保護をスケジュールしている場合、お客様はオプトアウトできません。
- 保護は、Microsoft による管理にできます。つまり、Microsoft Entra ID は、セキュリティの脅威の現在の状況に基づいて保護を有効にするか無効にできます。 お客様は、Microsoft による保護の管理を許可するかどうかを選択できます。 Microsoft による管理から変更して、保護を明示的に [有効] か [無効] にできます。
手記
重要なセキュリティ機能のみが既定で保護を有効にします。
Microsoft Entra ID で有効になっている既定の保護
番号照合は、現在すべてのテナントにおいて、Microsoft Authenticator のプッシュ通知に関して省略可能な認証方法の一つであり、その保護の良い例です。 お客様は、ユーザーとグループに対して Microsoft Authenticator でプッシュ通知の番号照合を有効にするか、無効のままにすることができます。 Microsoft Authenticator でのパスワードレス通知の既定の動作は、既に番号照合であり、ユーザーはオプトアウトできません。
MFA 疲労攻撃が増加するにつれて、サインイン セキュリティにとって番号照合がより重要になります。 その結果、Microsoft Authenticator のプッシュ通知の既定の動作が変更されます。
Microsoft によって管理される設定
IT 管理者は、認証方法ポリシー設定を
Microsoft Entra ID で設定を管理できるようにするオプションは、組織が Microsoft が既定で機能を有効または無効にできるようにする便利な方法です。 組織は、機能を既定で有効にする必要がある場合に Microsoft を信頼して管理することで、セキュリティ体制をより簡単に改善できます。 Microsoft が管理する (Graph API では default という名前) として設定を構成することで、IT 管理者は Microsoft を信頼して、明示的に無効にしていないセキュリティ機能を有効にできます。
たとえば、管理者はプッシュ通知で 場所とアプリケーション名の を有効にして、ユーザーが Microsoft Authenticator で MFA 要求を承認するときにコンテキストを増やすことができます。 追加のコンテキストは、明示的に無効にすることや、Microsoft マネージドとして設定することもできます。 現在、場所とアプリケーション名の Microsoft による管理構成は [無効] になっています。これにより、管理者が Microsoft Entra ID で設定を管理することを選択した環境では、このオプションが実質的に無効になります。
セキュリティ上の脅威の状況が時間の経過と同時に変化するにつれて、Microsoft は場所とアプリケーション名の Microsoft マネージド 構成を Enabledに変更できます。 Microsoft に依存してセキュリティ体制を改善したいお客様にとって、セキュリティ機能を Microsoft マネージド
次の表に、Microsoft マネージドに設定できる各設定と、その設定が既定で有効か無効かを示します。
| 設定 | 設定 |
|---|---|
| 登録キャンペーン | テキスト メッセージと音声通話ユーザーに対して有効 |
| Microsoft Authenticator 通知の場所 | 無効 |
| Microsoft Authenticator 通知のアプリケーション名 | 無効 |
| システムが優先する MFA | 有効 |
| オーセンティケーター・ライト | 有効 |
| 疑わしいアクティビティの を報告する | 無効 |
脅威ベクトルの変化に応じて、Microsoft Entra ID は、のリリース ノート や、Tech Communityなどのよく読まれるフォーラムで、Microsoft マネージド 設定に対する既定の保護を発表できます。
詳細については、ブログ記事「認証用の電話トランスポートで電話を切る時間」 を参照してください。この記事では、テキスト メッセージと音声通話の使用から離れる方法について説明しています。 この変更により、ユーザーが先進認証用に Authenticator を設定するのに役立つ、登録キャンペーンの既定の有効化が行われます。