ユーザーのリスク レベルが高まったときは、セキュリティで保護されたパスワード変更を要求します

Microsoft は、研究者、法執行機関、Microsoft のセキュリティ チーム、その他の信頼できるソースと協力して、漏洩したユーザー名とパスワードのペアを見つけます。 Microsoft Entra ID P2 ライセンスを持つ組織は、 Microsoft Entra ID Protection ユーザー リスク検出を組み込んだ条件付きアクセス ポリシーを作成できます。

Microsoft Entra Password Protection でこのポリシーを使用して、組織内の既知の脆弱なパスワード、そのバリエーション、および特定の用語をブロックします。 Microsoft Entra Password Protection を使用すると、変更されたパスワードがより強力になります。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。

• ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされる可能性が低いシナリオでは、緊急アクセス管理者アカウントを使用してサインインし、アクセスを回復できます。
  • 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
• サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型アカウントです。 通常、アプリケーションへのプログラムによるアクセスを許可するためにバックエンド サービスによって使用されますが、管理目的でシステムにサインインするためにも使用されます。 サービス プリンシパルによって行われた呼び出しは、ユーザーを対象とする条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
  • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合は、 それらをマネージド ID に置き換えます。

Template deployment

組織は、以下で説明する手順に従うか、 条件付きアクセス テンプレートを使用して、このポリシーを展開できます。

条件付きアクセス ポリシーを有効にする

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Conditional Access に移動します。
3. [新しいポリシー] を選択します。
4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [Include](含める) で、 [すべてのユーザー] を選択します。
   2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
   3. 完了 を選択します。
6. [Cloud アプリまたはアクション]>[含める] で、[すべてのリソース] (旧称 "すべてのクラウド アプリ") を選択します。
7. [条件]>[ユーザー リスク] で、[構成] を [はい] に設定します。
   1. [ポリシーを適用するために必要なユーザー リスク レベルを構成する] で、[高] を選びます。 このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります
   2. 完了 を選択します。
8. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
   1. [認証強度を要求する] を選択し、一覧から組み込みの認証強度である [多要素認証] を選択します。
   2. [パスワードの変更を必須にする] を選択します。
   3. [選択] を選びます。
9. [セッション] で
   1. [サインインの頻度] を選択します。
   2. [毎回] が選択されていることを確認します。
   3. [選択] を選びます。
10. 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
11. [作成] を選択して、ポリシーを作成および有効化します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

パスワードレスのシナリオ

パスワードレス認証方法を採用している組織には、次の変更を行います。

パスワードレスのユーザー リスク ポリシーを更新する

1. [ユーザー] で:
   1. [含む] の [ユーザーとグループ] を選んで、パスワードレス ユーザーを対象にします。
2. [アクセス制御]で>パスワードレス ユーザーのアクセスをブロックします。

パスワードレス ユーザー リスクの修復とブロック解除

1. 管理者にすべてのリスクに対する調査と修復を義務付けます。
2. ユーザーのブロックを解除します。

関連するコンテンツ

• 毎回の再認証を要求する
• リスクを修復してユーザーをブロック解除する
• Conditional Access common policies (条件付きアクセスの一般的なポリシー)
• サインイン リスクベースの条件付きアクセス
• 条件付きアクセスのレポート専用モードを使用した影響を判断する
• 条件付きアクセスのレポート専用モードを使用して、新しいポリシー決定の結果を判断します
• クロステナント アクセス設定を構成する