次の方法で共有


Microsoft Entra レコメンデーションとは

テナント内のすべての設定とリソースを追跡することは、大仕事になる可能性があります。 Microsoft Entra のレコメンデーション機能は、テナント状態の監視を支援します。そのため、人が監視する必要はありません。 これらの推奨事項は、テナントを安全で正常な状態にするのに役立ち、Microsoft Entra ID で利用できる機能の価値を最大限に高めるのにも役立ちます。

Microsoft Entra の推奨事項には、"ID セキュリティ スコア" に関する推奨事項が含まれるようになりました。 これらの推奨事項では、テナントのセキュリティに関する同様の分析情報を提供します。 ID セキュリティ スコアの推奨事項には、複数のセキュリティ要因に基づいて全体的なスコアとして計算される "セキュリティ スコア ポイント" が含まれます。 詳しくは、「ID セキュリティ スコアとは」をご覧ください。

これらの Microsoft Entra の推奨事項のすべてで、以下のことを行うための実行可能なガイダンスに関するパーソナライズされた分析情報が提供します。

  • Microsoft Entra 関連の機能のベスト プラクティスを実装する機会の特定を支援します。
  • Microsoft Entra テナントの状態を改善する。
  • シナリオに合わせて構成を最適化します。

この記事では、Microsoft Entra のレコメンデーションを使用する方法の概要について説明します。

それはどのように機能しますか?

毎日、Microsoft Entra ID ではテナントの構成を分析します。 この分析の間に、Microsoft Entra ID は、お客様のテナントの構成と、セキュリティのベスト プラクティスおよび推奨事項のデータを比較します。 お客様のテナントに適用できることを示すフラグが設定されている推奨事項は、Microsoft Entra の ID の概要領域にある [推奨事項] セクションに表示されます。 レコメンデーションは優先度に従って一覧表示されるため、最初に着目すべき場所をすばやく特定できます。

[レコメンデーション] オプションが強調表示されているテナントの [概要] ページのスクリーンショット。

ページの先頭に表示される ID セキュリティ スコアは、テナントの正常性を数値で表したものです。 ID セキュリティ スコアに適用される推奨事項には、ページの下部にあるテーブルで個別のスコアが示されます。 これらのスコアを合計したものが、ID セキュリティ スコアになります。 詳しくは、「ID セキュリティ スコアとは」をご覧ください。

ID セキュリティ スコアのスクリーンショット。

各レコメンデーションには、説明、レコメンデーションに対処する値の概要、およびステップバイステップのアクション プランが含まれています。 該当する場合は、推奨事項に関連付けられている影響を受けるリソースが一覧表示されるため、影響を受けるそれぞれの領域を解決できます。 レコメンデーションにリソースが関連付けられていない場合、テナント レベルが影響を受けるリソースの種類になり、ステップ バイ ステップのアクション プランは、特定のリソースだけでなく、テナント全体に影響します。

利用できるレコメンデーションとライセンスの要件

次の表のレコメンデーションは、現在、パブリック プレビューまたは一般提供で利用できます。 パブリック プレビューでのレコメンデーションのライセンス要件は変わる場合があります。 表には、影響を受けるリソースと、使用可能なドキュメントへのリンクが示されています。

推奨 影響を受けるリソース 必要とされるライセンス 可用性
条件付きアクセスで Microsoft Purview 適応型保護とインサイダー リスク条件を有効にする ユーザー Microsoft Entra Premium P2 一般公開
ユーザーごとの MFA を条件付きアクセス MFA に変換する ユーザー すべてのライセンス 一般公開
AD FS から Microsoft Entra ID にアプリケーションを移行する アプリケーション すべてのライセンス 一般公開
アプリとサービス プリンシパルを Azure AD Graph から Microsoft Graph に移行する アプリケーション すべてのライセンス パブリック プレビュー
ADAL から MSAL への移行 アプリケーション すべてのライセンス 一般に入手可能
MFA サーバーから Microsoft Entra MFA に移行する テナント レベル すべてのライセンス 一般提供
Microsoft Authenticator に移行する ユーザー すべてのライセンス プレビュー
既知のデバイスからの MFA プロンプトを最小限に抑える ユーザー すべてのライセンス 一般公開
未使用のアプリケーションを削除する アプリケーション Microsoft Entra ワークロード ID Premium パブリック プレビュー
アプリケーションから未使用の資格情報を削除する アプリケーション Microsoft Entra ワークロード ID Premium パブリック プレビュー
期限切れ間近のアプリケーションの資格情報を更新する アプリケーション Microsoft Entra ワークロード ID Premium パブリック プレビュー
期限切れ間近のサービス プリンシパルの資格情報を更新する アプリケーション Microsoft Entra ワークロード ID Premium パブリック プレビュー

Microsoft Entra にはテナントに適用される推奨事項のみが表示されるため、サポートされているすべての推奨事項が表示されない場合があります。

Microsoft Entra のレコメンデーション機能は、Azure Advisor の Microsoft Entra 固有の実装であり、Azure デプロイを最適化するためのベスト プラクティスに従うのに役立つ、パーソナライズされたクラウド コンサルタントです。 Azure Advisor は、リソースの構成と使用データを分析し、Azure リソースの費用対効果、パフォーマンス、信頼性、およびセキュリティを向上させるのに役立つソリューションを推奨します。

Microsoft Entra のレコメンデーションでは、同様のデータを使用して、Microsoft Entra テナント用の Microsoft のベスト プラクティスのロールアウトと管理をサポートし、テナントを安全で正常な状態に保ちます。 Microsoft Entra の推奨事項機能は、テナントのセキュリティ、正常性、使用状況に関する包括的な視点を提供します。

電子メール通知 (プレビュー)

Microsoft Entra の推奨事項では、新しい推奨事項が生成されたときに電子メールによる通知が生成されるようになりました。 この新しいプレビュー機能は、推奨事項ごとに事前に定義されたロールのセットに電子メールを送信します。 たとえば、テナントのアプリケーションの正常性に関連付けられている推奨事項は、アプリケーション管理者ロールを持つユーザーに送信されます。

次の表に、推奨事項ごとに電子メールによる通知を受信する Microsoft 組み込みロールを示します。

推奨事項のタイトル ターゲット ロール
AAD Connect の非推奨 ハイブリッド ID の管理者
ユーザーごとの MFA を条件付きアクセス MFA に変換する セキュリティ管理者
複数の全体管理者を指定する 全体管理者
信頼性の低いアプリケーションへの同意をユーザーに許可しない グローバル管理者
パスワードを有効期限切れにしない グローバル管理者
パスワード ハッシュ同期を有効にする(ハイブリッド型を使用している場合) ハイブリッド ID の管理者
レガシ認証をブロックするポリシーを有効にする 条件付きアクセス管理者、セキュリティ管理者
セルフサービス パスワード リセットを有効にする 認証ポリシー管理者
すべてのユーザーが多要素認証を完了できるようにする 条件付きアクセス管理者、セキュリティ管理者
アプリケーションでの有効期間が長い認証情報 グローバル管理者
廃止された Azure AD Graph API から Microsoft Graph にアプリケーションを移行する アプリケーション管理者
AD FS から Microsoft Entra ID にアプリケーションを移行する アプリケーション管理者、認証管理者ハイブリッド ID 管理者
レガシ MFA と SSPR ポリシーから認証方法を移行する グローバル管理者
ADAL から MSAL への移行 アプリケーション管理者
MFA サーバーから Microsoft Entra MFA に移行する グローバル管理者
サービス プリンシパルを、廃止する Azure AD Graph API から Microsoft Graph に移行する アプリケーション管理者
MS Graph のバージョン管理 グローバル管理者
テナント MFA の最適化 セキュリティ管理者
サインイン リスク ポリシーを使用してすべてのユーザーを保護する 条件付きアクセス管理者、セキュリティ管理者
ユーザー リスク ポリシーを使用してすべてのユーザーを保護する 条件付きアクセス管理者、セキュリティ管理者
条件付きアクセスでインサイダー リスクを使用してテナントを保護する 条件付きアクセス管理者、セキュリティ管理者
アプリケーションの特権を超えるアクセス許可を削除する グローバル管理者
未使用のアプリケーションを削除する アプリケーション管理者
アプリケーションから未使用の認証情報を削除する アプリケーション管理者
期限切れ間近のアプリケーションの資格情報を更新する アプリケーション管理者
期限切れ間近のサービス プリンシパルの認証情報を更新する アプリケーション管理者
管理者ロールに対して MFA を必須にする 条件付きアクセス管理者、セキュリティ管理者
アクセス レビュー - 非アクティブなユーザーのレビュー Identity Governance 管理者
自動ユーザーとグループのプロビジョニングを使用してアプリをセキュリティで保護し、管理する アプリケーション管理者、IT ガバナンス管理者
最小限の特権管理ロールを使用する 特権ロール管理者
アプリの発行元を確認する グローバル管理者

組織が Privileged Identity Management (PIM) を使用している場合、受信者は、電子メールによる通知を受信するために指定されたロールに昇格する必要があります。 ロールにアクティブに割り当てられているユーザーがいない場合、電子メールは送信されません。 このため、推奨事項を定期的に確認して、新しい推奨事項を確実に把握することをお勧めします。