ゼロ トラスト ID とデバイス アクセス ポリシーを実装するための前提条件の作業
この記事では、管理者が推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを使用し、条件付きアクセスを使用するために満たす必要がある前提条件について説明します。 また、最適なシングル サインオン (SSO) エクスペリエンスのためにクライアント プラットフォームを構成するのに推奨される既定値についても説明します。
前提条件
推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを使用する前に、組織が前提条件を満たしている必要があります。 要件は、一覧表示されているさまざまな ID および認証モデルで異なります。
- クラウド専用
- パスワード ハッシュ同期 (PHS) 認証を使用したハイブリッド
- パススルー認証 (PTA) を使用したハイブリッド
- フェデレーション
次の表では、前提条件となる機能と、特に記載されている場合を除き、すべての ID モデルに適用される構成について詳しく説明します。
| 構成 | 例外 | ライセンス |
|---|---|---|
| パスワード ハッシュ同期 (PHS)を構成します。 この機能は、漏洩した資格情報を検出し、リスクベースの条件付きアクセスに対応するために有効にする必要があります。 この構成は、組織がフェデレーション認証を使用しているかどうかに関係なく必要です。 | クラウド専用 | Microsoft 365 E3 または E5 |
| シームレス シングル サインオンを有効にして、組織ネットワークに接続されている組織のデバイスを使用しているときにユーザーを自動的にサインインさせます。 | クラウドのみおよびフェデレーション | Microsoft 365 E3 または E5 |
| ネットワークの場所を構成します。 Microsoft Entra ID Protection では、利用可能なすべてのセッション データを収集および分析して、リスク スコアを生成します。 Microsoft Entra ID のネームド ロケーション構成で、組織のネットワークのパブリック IP 範囲を指定することをお勧めします。 これらの範囲からのトラフィックには低いリスク スコアが与えられ、組織環境外からのトラフィックにはより高いリスク スコアが与えられます。 | Microsoft 365 E3 または E5 | |
| すべてのユーザーをセルフサービス パスワード リセット (SSPR) と多要素認証 (MFA) に登録します。 この手順は、事前に行うことをお勧めします。 Microsoft Entra ID Protection は、セキュリティ検証を追加するために Microsoft Entra 多要素認証を使用します。 最適なサインイン エクスペリエンスを実現するには、Microsoft Authenticator アプリ とデバイス上の Microsoft ポータル サイト アプリを使用することをお勧めします。 ユーザーは、デバイス プラットフォーム用のアプリ ストアからこれらのアプリをインストールできます。 | Microsoft 365 E3 または E5 | |
| Microsoft Entra ハイブリッド参加の実装を計画します。 条件付きアクセスを使用すると、アプリに接続するデバイスがドメインに参加しているか、準拠していることを確認できます。 Windows コンピューターでこの要件をサポートするには、デバイスを Microsoft Entra ID に登録する必要があります。 この記事では、自動デバイス登録を構成する方法について説明します。 | クラウド専用 | Microsoft 365 E3 または E5 |
| サポート チームを準備します。 MFA を実行できないユーザー向けのプランを作成します。 たとえば、ポリシー除外グループに追加したり、新しい MFA 情報を登録したりします。 セキュリティに依存する例外を行う場合は、ユーザーが実際に要求を行っていることを確認します。 管理者にユーザーの承認の支援を求めるのは、効果的な手順です。 | Microsoft 365 E3 または E5 | |
| オンプレミスの Active Directoryへのパスワード ライトバックを構成します。 パスワード ライトバックにより、Microsoft Entra ID では、アカウントのセキュリティ侵害のリスクが高いことが検出されたときにオンプレミスのパスワードを変更するようにユーザーに要求できます。 Microsoft Entra Connect を使用してこの機能を有効にするには、次の 2 つの方法のいずれかを使用します。Microsoft Entra Connect セットアップのオプション機能画面で [パスワード ライトバック] を有効にするか、Windows PowerShell を使用して有効にします。 | クラウド専用 | Microsoft 365 E3 または E5 |
| Microsoft Entra パスワード保護を構成します。 Microsoft Entra Password Protection は、既知の脆弱なパスワードとそのバリエーションを検出してブロックし、組織に固有の他の弱い用語をブロックすることもできます。 既定のグローバル禁止パスワード リストは、Microsoft Entra 組織内のすべてのユーザーに自動的に適用されます。 カスタム禁止パスワード リスト内の他のエントリを定義できます。 ユーザーがパスワードを変更またはリセットすると、これらの禁止パスワード リストがチェックされ、強力なパスワードの使用が強制されます。 | Microsoft 365 E3 または E5 | |
| Microsoft Entra ID Protection を有効にします。 Microsoft Entra ID Protection を使用すると、組織の ID に影響する潜在的な脆弱性を検出し、低、中、高のサインイン リスクとユーザー リスクに対する自動修復ポリシーを構成できます。 | Microsoft 365 E5 または E5 Security アドオンがインストールされた Microsoft 365 E3 | |
| Microsoft Entra ID での継続的アクセス評価を有効にします。 継続的アクセス評価では、アクティブなユーザー セッションが事前に終了され、ほぼリアルタイムで組織ポリシーの変更が適用されます。 | Microsoft 365 E3 または E5 |
推奨されるクライアント構成
このセクションでは、最適な SSO エクスペリエンスを実現するために推奨される既定のプラットフォーム クライアント構成と、条件付きアクセスの技術的な前提条件について説明します。
Windows デバイス
Windows 11 または Windows 10 (バージョン 2004 以降) をお勧めします。これは、Azure がオンプレミスと Microsoft Entra ID の両方で可能な限りスムーズな SSO エクスペリエンスを提供するように設計されているためです。 組織が発行したデバイスは、次のいずれかのオプションを使用して構成する必要があります。
- Microsoft Entra ID に直接参加します。
- オンプレミスの Active Directory ドメイン参加済みデバイスを構成し、自動的かつひそかに Microsoft Entra ID に登録します。
個人用 (Bring your own device or BYOD) Windows デバイスの場合、ユーザーは 職場または学校アカウントの追加を使用できます。 Windows 11 または Windows 10 デバイスの Google Chrome ユーザーは、Microsoft Edge ユーザーと同じスムーズなサインイン エクスペリエンスを得るために、拡張機能 を インストールする必要があります。 また、組織にドメイン参加済みの Windows 8 または 8.1 デバイスがある場合は、Windows 10 以外のコンピューターに Microsoft Workplace Join をインストールできます。 Microsoft Entra ID を使用してデバイスを登録するパッケージをダウンロードします。
iOS デバイス
条件付きアクセスまたは MFA ポリシーをデプロイする前に Microsoft Authenticator アプリをユーザー デバイスにインストールすることをお勧めします。 できない場合は、次のシナリオでアプリをインストールします。
- ユーザーが職場または学校アカウントを追加して、デバイスを Microsoft Entra ID に登録するように求められた場合。
- ユーザーが Intune ポータル サイト アプリをインストールしてデバイスを管理に登録する場合。
要求は、構成されている条件付きアクセス ポリシーによって異なります。
Android デバイス
条件付きアクセス ポリシーが展開される前または特定の認証の試行中に、ユーザーが Intune ポータル サイト アプリ をインストールし、Microsoft Authenticator アプリ を することをお勧めします。 アプリのインストール後、ユーザーは、構成されている条件付きアクセス ポリシーに応じて、Microsoft Entra ID に登録するか、デバイスを Intune に登録するように求められる場合があります。
また、Intune モバイル デバイス管理 (MDM) ポリシーによるメール アカウントの管理と保護を許可するために、組織が負うデバイスで Android for Work または Samsung Knox をサポートすることもお勧めします。
推奨される電子メール クライアント
次の表の電子メール クライアントは、先進認証と条件付きアクセスをサポートしています。
| プラットフォーム | クライアント | バージョン/メモ |
|---|---|---|
| Windows | Outlook | 2016 以降 必要な更新プログラム |
| iOS | Outlook for iOS | 最新 |
| Android | Outlook for Android | 最新 |
| macOS | Outlook | 2016 以降 |
| Linux | サポートされていません |
ドキュメントをセキュリティで保護するときに推奨されるクライアント プラットフォーム
セキュリティで保護されたドキュメント ポリシーが適用されている場合は、次の表の電子メール クライアントをお勧めします。
| プラットフォーム | Word/Excel/PowerPoint | OneNote | OneDrive アプリ | SharePoint アプリ | OneDrive 同期クライアント |
|---|---|---|---|---|---|
| Windows 11 または Windows 10 | サポートされています | サポートされています | N/A | N/A | サポートされています |
| Windows 8.1 | サポートされています | サポートされています | N/A | N/A | サポートされています |
| Android | サポートされています | サポートされています | サポートされています | サポートされています | N/A |
| iOS | サポートされています | サポートされています | サポートされています | サポートされています | N/A |
| macOS | サポートされています | サポートされています | N/A | N/A | サポートされていません |
| Linux | サポートされていません | サポートされていません | サポートされていません | サポートされていません | サポートされていません |
Microsoft 365 クライアントのサポート
Microsoft 365 でのクライアント サポートの詳細については、「Microsoft 365の ID インフラストラクチャを展開する」を参照してください。
管理者アカウントの保護
Microsoft 365 E3 または E5 の場合、または個別の Microsoft Entra ID P1 または P2 ライセンスを使用する場合は、手動で作成された条件付きアクセス ポリシーを使用する管理者アカウントに対して、フィッシングに対する耐性のある MFA を要求できます。 詳細については、「条件付きアクセス: 管理者にフィッシング耐性 MFA を要求する」を参照してください。
条件付きアクセスをサポートしていない Microsoft 365 または Office 365 のエディションでは、セキュリティの既定値 を有効にして、すべてのアカウントに MFA を要求できます。
その他の推奨事項を次に示します。
- Microsoft Entra Privileged Identity Management を使用して、永続的な管理アカウントの数を減らしてください。
- 特権アクセス管理 を使用して、機密データへの永続的なアクセスや重要な構成設定へのアクセスを持つ既存の特権管理者アカウントを使用する可能性がある侵害から組織を保護します。
- Microsoft 365 管理者ロールを割り当てられた個別のアカウントを作成して "管理の目的にのみ" 使用します。 管理者は、通常使用するために独自のユーザー アカウントを持っている必要があります。 管理者アカウントは、ロールまたはジョブ機能に関連付けられているタスクを完了するために必要な場合にのみ使用する必要があります。
- Microsoft Entra ID の特権アカウントをセキュリティで保護するためのベスト プラクティスに従ってください。
次のステップ
