Microsoft では組織に対して、多要素認証をサポートしていないレガシ プロトコルを使用した認証要求をブロックすることをお勧めします。 Microsoft の分析に基づくと、資格情報のスタッフィング攻撃の 97% 以上がレガシ認証を利用し、パスワード スプレー攻撃の 99% 以上がレガシ認証プロトコルを利用しています。 これらの攻撃は、基本認証が無効化またはブロックされると止まります。
条件付きアクセスを含むライセンスを持たないお客様は、 セキュリティの既定値 を使用してレガシ認証をブロックできます。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレイクグラスアカウント。 すべての管理者がロックアウトされる可能性が低いシナリオでは、緊急アクセス管理者アカウントを使用してサインインし、アクセスを回復できます。
- 詳細については、「 Microsoft Entra ID で緊急アクセスアカウントを管理する」を参照してください。
-
サービス アカウント と サービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型アカウントです。 通常、アプリケーションへのプログラムによるアクセスを許可するためにバックエンド サービスによって使用されますが、管理目的でシステムにサインインするためにも使用されます。 サービス プリンシパルによって行われた呼び出しは、ユーザーを対象とする条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合は、 それらをマネージド ID に置き換えます。
Template deployment
組織は、以下で説明する手順に従うか、 条件付きアクセス テンプレートを使用して、このポリシーを展開できます。
条件付きアクセス ポリシーを作成する
次の手順を実行すると、レガシ認証要求をブロックする条件付きアクセス ポリシーを作成できます。 管理者が既存のユーザーに与える影響を判断できるように、このポリシーは レポート専用モード で開始されます。 管理者は、ポリシーが意図したとおりに適用されることを快適に感じたとき、特定のグループを追加して他のグループを除外することで 、オン に切り替えたり、デプロイをステージングしたりできます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [ 新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
- [ 含める] で、[ すべてのユーザー] を選択します。
- [ 除外] で、[ ユーザーとグループ ] を選択し、レガシ認証を使用する機能を維持する必要があるアカウントを選択します。 Microsoft では、構成ミスが原因でロックアウトされないように、少なくとも 1 つのアカウントを除外することをお勧めします。
- ターゲット リソース>リソース (以前のクラウド アプリ)>含まれている、すべてのリソース (以前の「すべてのクラウド アプリ」) を選択します。
- [条件>クライアント アプリ] で、構成 を はい に設定します。
- Exchange ActiveSync クライアントとその他のクライアントのチェック ボックスのみをオンにします。
- [ 完了] を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- 選択します。
- 設定を確認し 、[ポリシーの有効化] を [レポートのみ] に設定します。
- [ 作成] を選択して作成し、ポリシーを有効にします。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。
注
条件付きアクセス ポリシーは、第 1 段階認証が完了した後で適用されます。 条件付きアクセスはサービス拒否 (DoS) 攻撃などのシナリオに対する組織の防御の最前線を意図したものではありませんが、これらのイベントからのシグナルを使用してアクセス権を判定できます。
レガシ認証の使用を識別する
レガシ認証を使用するクライアント アプリをユーザーが使っているかどうかを把握するために、管理者は次の手順でサインイン ログ内のインジケーターを確認できます。
- Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。
Entra ID Monitoring & health サインイン ログを参照します 。- Client App 列が表示されていない場合は、列>クライアントアプリ をクリックして追加します。
- [>レガシ認証プロトコルをすべて選択し、[>] を選択します。
- ユーザー サインイン (非対話型) タブでも次の手順を実行します。
フィルター処理によって、レガシ認証プロトコルによって行われたサインイン試行のみが表示されます。 各サインイン試行をクリックすると詳細が表示されます。 [基本情報] タブの [クライアント アプリ] フィールドには、使用されたレガシ認証プロトコルが示されます。 これらのログは、レガシ認証に依存するクライアントを使用しているユーザーを示しています。
さらに、テナント内のレガシ認証をトリアージするために、レガシ認証を使用するサインイン ワークブックを使用します。