Microsoft Entra の推奨事項: ユーザーごとの MFA を条件付きアクセス MFA に切り換える
Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベスト プラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。
この記事では、ユーザーごとの多要素認証 (MFA) アカウントを条件付きアクセス MFA アカウントに切り換えるためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API では switchFromPerUserMFA
と呼ばれます。
説明
管理者は、自社のリソースのセキュリティを維持する必要がありますが、従業員が必要に応じてリソースに簡単にアクセスできるようにする必要もあります。 MFA を使用すると、テナントのセキュリティ対策を強化できます。
テナントでは、MFA をユーザーごとに有効にできます。 このシナリオでは、ユーザーはサインインするたびに MFA を実行します。 信頼できる IP アドレスからサインインする場合や、"信頼されたデバイスで MFA を記憶する" 機能が有効な場合など、いくつかの例外があります。 MFA を有効にするのは良い手法ですが、ユーザーごとの MFA を条件付きアクセスに基づいた MFA に切り換えると、ユーザーが MFA の入力を求められる回数を削減できます。
この推奨事項が示されるのは、次の場合です。
- ユーザーごとの MFA を、少なくとも 5% のユーザーに対して構成している。
- 条件付きアクセス ポリシーをアクティブにしているユーザーが 1% を超える (条件付きアクセス ポリシーを熟知していることを示す)。
値
このレコメンデーションは、MFA のプロンプトを減らすことでユーザーの生産性を向上させ、サインイン時間を最少にします。 条件付きアクセスと MFA を併用することにより、最も機密性の高いリソースは最も厳しく制御し、最も機密性の低いリソースにはより自由にアクセスできるようになります。 条件付きアクセスで使用可能な機能の概要については、「条件付きアクセス ポリシーの構築」を参照してください。
行動計画
MFA 要件を持つ既存の条件付きアクセス ポリシーがあることを確認します。 MFA でセキュリティ保護したいと考えるすべてのリソースとユーザーをカバーしていることを確認します。
- 条件付きアクセス ポリシーを確認します。
条件付きアクセス ポリシーを使用して MFA を必須にします。
ユーザーごとの MFA 構成が無効になっていることを確認します。
すべてのユーザーが条件付きアクセス MFA アカウントに移行された後、次にサービスが実行されたときに、推奨事項の状態が自動的に更新されます。 引き続き条件付きアクセス ポリシーを確認します。