次の方法で共有


ゼロ トラスト ID とデバイス アクセス ポリシーを実装するための前提条件の作業

この記事では、管理者が推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを使用し、条件付きアクセスを使用するために満たす必要がある前提条件について説明します。 また、最適なシングル サインオン (SSO) エクスペリエンスのためにクライアント プラットフォームを構成するのに推奨される既定値についても説明します。

前提条件

推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを使用する前に、組織が前提条件を満たしている必要があります。 要件は、一覧表示されているさまざまな ID および認証モデルで異なります。

  • クラウド専用
  • パスワード ハッシュ同期 (PHS) 認証を使用したハイブリッド
  • パススルー認証 (PTA) を使用したハイブリッド
  • フェデレーション

次の表では、前提条件となる機能と、特に記載されている場合を除き、すべての ID モデルに適用される構成について詳しく説明します。

構成 例外 ライセンス
PHS を構成します。 この機能は、漏洩した資格情報を検出し、リスクベースの条件付きアクセスに対応するために有効にする必要があります。これは、組織がフェデレーション認証を使用しているかどうかに関係なく必要であることに注意してください。 クラウド専用 Microsoft 365 E3 または E5
シームレス シングル サインオンを有効にして、組織ネットワークに接続されている組織のデバイスを使用しているときにユーザーを自動的にサインインさせます。 クラウドのみおよびフェデレーション Microsoft 365 E3 または E5
ネームド ロケーションを構成します。 Microsoft Entra ID Protection では、利用可能なすべてのセッション データを収集および分析して、リスク スコアを生成します。 Microsoft Entra ID のネームド ロケーション構成で、組織のネットワークのパブリック IP 範囲を指定することをお勧めします。 これらの範囲からのトラフィックには低いリスク スコアが与えられ、組織環境外からのトラフィックにはより高いリスク スコアが与えられます。 Microsoft 365 E3 または E5
すべてのユーザーをセルフサービス パスワード リセット (SSPR) と多要素認証 (MFA) に登録します。 前もってユーザーを Microsoft Entra 多要素認証に登録することをお勧めします。 Microsoft Entra ID Protection では、Microsoft Entra 多要素認証を使用して追加のセキュリティ検証を実行します。 さらに、最適なサインイン エクスペリエンスを実現するには、Microsoft Authenticator アプリと Microsoft ポータル サイト アプリをデバイスにインストールすることをお勧めします。 これらは、プラットフォームごとにアプリ ストアからインストールできます。 Microsoft 365 E3 または E5
Microsoft Entra ハイブリッド参加の実装を計画します。 条件付きアクセスでは、アプリに接続するデバイスがドメイン参加済みか準拠していることを確認します。 これを Windows コンピューターでサポートするには、デバイスを Microsoft Entra ID に登録する必要があります。 この記事では、自動デバイス登録を構成する方法について説明します。 クラウド専用 Microsoft 365 E3 または E5
サポート チームを準備します。 MFA を完了できないユーザーのためのプランを立ててください。 たとえば、ポリシー除外グループに追加する、新しい MFA 情報を登録するなどです。 これらのセキュリティ上重要な変更のいずれかを行う前に、実際のユーザーからの要求であることを確認する必要があります。 ユーザーの管理者に承認を手伝ってもらうことは、有効な手順です。 Microsoft 365 E3 または E5
オンプレミスの AD へのパスワード ライトバックを構成します。 パスワード ライトバックにより、Microsoft Entra ID では、アカウントのセキュリティ侵害のリスクが高いことが検出されたときにオンプレミスのパスワードを変更するようにユーザーに要求できます。 Microsoft Entra Connect を使用してこの機能を有効にするには、次の 2 つの方法のいずれかを使用します。Microsoft Entra Connect セットアップのオプション機能画面で [パスワード ライトバック] を有効にするか、Windows PowerShell を使用して有効にします。 クラウド専用 Microsoft 365 E3 または E5
Microsoft Entra パスワード保護を構成します。 Microsoft Entra パスワード保護では、既知の脆弱なパスワードやそのバリエーションを検出してブロックします。また、組織に固有のその他の脆弱な用語をブロックすることもできます。 既定のグローバル禁止パスワード リストは、Microsoft Entra テナントのすべてのユーザーに自動的に適用されます。 カスタム禁止パスワード リストに追加のエントリを定義できます。 ユーザーがパスワードを変更またはリセットすると、これらの禁止パスワード リストがチェックされ、強力なパスワードの使用が強制されます。 Microsoft 365 E3 または E5
Microsoft Entra ID Protection を有効にします。 Microsoft Entra ID Protection を使用すると、組織の ID に影響する潜在的な脆弱性を検出し、低、中、高のサインイン リスクとユーザー リスクに対する自動修復ポリシーを構成できます。 Microsoft 365 E5 または E5 Security アドオンがインストールされた Microsoft 365 E3
Exchange Online および Skype for Business Online先進認証を有効にします。 先進認証は、MFA を使用するための前提条件です。 Office 2016 および 2019 クライアント、SharePoint、OneDrive for Business では、先進認証が既定で有効になっています。 Microsoft 365 E3 または E5
Microsoft Entra ID での継続的アクセス評価を有効にします。 継続的アクセス評価では、アクティブなユーザー セッションが事前に終了され、ほぼリアルタイムでテナント ポリシーの変更が適用されます。 Microsoft 365 E3 または E5

このセクションでは、ユーザーに最高の SSO エクスペリエンスを提供するために推奨される既定のプラットフォーム クライアント構成と、条件付きアクセスの技術的前提条件について説明します。

Windows デバイス

Windows 11 または Windows 10 (バージョン 2004 以降) をお勧めします。これは、Azure がオンプレミスと Microsoft Entra ID の両方で可能な限りスムーズな SSO エクスペリエンスを提供するように設計されているためです。 職場または学校から支給されたデバイスは、Microsoft Entra ID に直接参加するように構成する必要があります。または、組織がオンプレミス AD ドメイン参加を使用している場合、これらのデバイスは Microsoft Entra ID にサイレント モードで自動的に登録されるように構成する必要があります。

BYOD Windows デバイスの場合、ユーザーは [職場または学校アカウントの追加] を使用できます。 Windows 11 または Windows 10 デバイスの Google Chrome ブラウザーのユーザーは、Microsoft Edge ユーザーと同じスムーズなサインイン エクスペリエンスを得るために、拡張機能をインストールする必要があることに注意してください。 また、組織にドメイン参加済みの Windows 8 または 8.1 デバイスがある場合、Windows 10 以外のコンピューター向け Microsoft Workplace Join をインストールできます。 Microsoft Entra ID を使用してデバイスを登録するパッケージをダウンロードします

iOS デバイス

条件付きアクセスまたは MFA ポリシーをデプロイする前に Microsoft Authenticator アプリをユーザー デバイスにインストールすることをお勧めします。 少なくとも、職場または学校アカウントを追加して Microsoft Entra ID にデバイスを登録することをユーザーに求める場合や、ユーザーが Intune ポータル サイト アプリをインストールして自分のデバイスを管理対象として登録する場合は、このアプリをインストールする必要があります。 これは、構成された条件付きアクセス ポリシーによって異なります。

Android デバイス

ユーザーには、条件付きアクセス ポリシーをデプロイする前か、特定の認証試行で必要になった時点で Intune ポータル サイト アプリMicrosoft Authenticator アプリをインストールするようお勧めしています。 アプリをインストールした後、ユーザーは Microsoft Entra ID に登録するか、デバイスを Intune に登録するよう求められる可能性があります。 これは、構成された条件付きアクセス ポリシーによって異なります。

さらに、Android for Work または Samsung Knox をサポートする OEM およびバージョンで組織所有のデバイスを標準化して、Intune MDM ポリシーでメール アカウントを管理および保護できるようにすることもお勧めします。

次のメール クライアントでは、先進認証と条件付きアクセスをサポートしています。

プラットフォーム クライアント バージョン/メモ
Windows Outlook 2019、2016

必要な更新プログラム

iOS Outlook for iOS 最新
Android Outlook for Android 最新
macOS Outlook 2019 および 2016
Linux サポートされていません

セキュリティで保護されたドキュメント ポリシーが適用されている場合は、次のクライアントをお勧めします。

プラットフォーム Word/Excel/PowerPoint OneNote OneDrive アプリ SharePoint アプリ OneDrive 同期クライアント
Windows 11 または Windows 10 サポートされています サポートされています N/A 該当なし サポートされています
Windows 8.1 サポートされています サポートされています N/A 該当なし サポートされています
Android サポートされています サポート対象 サポート対象 サポートされています 該当なし
iOS サポートされています サポート対象 サポート対象 サポートされています 該当なし
macOS サポートされています サポートされています N/A なし サポートされていません
Linux サポート対象外 サポート対象外 サポート対象外 サポート対象外 サポート対象外

Microsoft 365 クライアントのサポート

Microsoft 365 のクライアント サポートの詳細については、次の記事を参照してください。

管理者アカウントの保護

Microsoft 365 E3 または E5 の場合、または個別の Microsoft Entra ID P1 または P2 ライセンスを使用する場合は、手動で作成された条件付きアクセス ポリシーを使用して管理者アカウントに MFA を要求できます。 詳細については、条件付きアクセス: 管理者に対して MFA を要求するに関する記事を参照してください。

条件付きアクセスをサポートしていない Microsoft 365 または Office 365 のエディションでは、セキュリティの既定値を有効にして、すべてのアカウントに MFA を要求できます。

次にいくつかの追加の推奨事項を示します。

  • Microsoft Entra Privileged Identity Management を使用して、永続的な管理アカウントの数を減らしてください。
  • 特権アクセス管理を使用して、機密データへの永続的なアクセス権や重要な構成設定へのアクセス権を持つ、既存の特権管理者アカウントを使用する可能性がある組織を侵害から保護します。
  • Microsoft 365 管理者ロールを割り当てられた個別のアカウントを作成して "管理の目的にのみ" 使用します。 管理者は、管理以外の通常業務には独自のユーザー アカウントを用意し、自分のロールや職務に関連付けられているタスクを完了する必要があるときのみ管理アカウントを使用する必要があります。
  • Microsoft Entra ID の特権アカウントをセキュリティで保護するためのベスト プラクティスに従ってください。

次のステップ

手順 2: 共通のゼロ トラスト ID を構成し、条件付きアクセス ポリシーにアクセスする。

共通のゼロ トラスト ID とデバイスのアクセス ポリシーを構成する