次の方法で共有

ID セキュリティ スコアとは

ID セキュリティ スコアは、セキュリティに関する Microsoft の推奨事項にどの程度適合しているかを示すインジケーターとして機能する割合として表示されます。 ID セキュリティ スコアの各改善アクションは、構成に合わせて調整されます。 スコアにアクセスし、Microsoft Entra の推奨事項でスコアに関連する個々の推奨事項を表示できます。 また、時間の経過と同時にスコアがどのように変化するかを確認することもできます。

[推奨事項] ページのスクリーンショット。[セキュリティ スコアの詳細] が強調表示されています。

前提 条件

  • ID セキュア スコアは、無料および有料のお客様が利用できます。
  • 一部の推奨事項では、表示と操作に有料ライセンスが必要です。 詳細については、「Microsoft Entra の推奨事項 を参照してください。
  • 改善アクションを表示し、更新を 表示 しない場合は、少なくとも サービス サポート管理者 ロールが必要です。
  • 改善アクションの状態を 更新 するには、少なくとも SharePoint 管理者 ロールが必要です。
  • ロールの完全な一覧については、「 タスク別の最小特権ロール」を参照してください。

ID セキュリティ スコアはどのように私に利益をもたらしますか?

このスコアは、ID セキュリティ体制を客観的に測定し、ID セキュリティの改善を計画し、改善の成功を確認するのに役立ちます。 Microsoft Entra の推奨事項の改善アクションに従うことで、ID への投資の一環として組織で利用できる機能を利用できます。

ID セキュリティ スコアには、次の推奨事項が含まれています。

  • VPN 統合の構成
  • 複数のグローバル管理者を指定する
  • 信頼できないアプリケーションへの同意をユーザーに許可しない
  • パスワードの有効期限を切らないでください
  • 正しく構成されていないエージェント証明書テンプレートを編集する
  • 正しく構成されていない登録エージェント証明書テンプレートを編集する
  • レガシ認証をブロックするポリシーを有効にする
  • ハイブリッドの場合にパスワード ハッシュ同期を有効にする
  • セルフサービス パスワード リセットを有効にする
  • すべてのユーザーが MFA を完了できることを確認する
  • 偽装を防ぐために安全でないKerberos代理を変更する
  • サインイン リスク ポリシーを使用してすべてのユーザーを保護する
  • ユーザー リスク ポリシーを使用してすべてのユーザーを保護する
  • Microsoft LAPS を使用してローカル管理者パスワードを保護および管理する
  • 機密性の高いグループから休止中のアカウントを削除する
  • 機密性の高い Microsoft Entra Connect アカウントに対する安全でないアクセス許可を削除する
  • Microsoft Entra Connect AD DS コネクタのエンタープライズまたはドメイン管理者アカウントを置き換える
  • 管理ロールに多要素認証 (MFA) を要求する
  • GPO で見つかった元に戻すパスワード
  • Microsoft Entra Connect AD DS Connector アカウントのパスワードをローテーションする
  • 平文の資格情報の露出を防止する
  • 脆弱な暗号の使用を停止する
  • 最小限の特権を持つ管理者ロールを使用する

それはどのように動作しますか?

24 時間ごとに、セキュリティ構成を確認し、設定を推奨されるベスト プラクティスと比較します。 この評価の結果に基づいて、ディレクトリに対して新しいスコアが計算されます。 セキュリティ構成がベスト プラクティスのガイダンスと完全には一致せず、改善アクションが部分的にしか満たされていない可能性があります。 これらのシナリオでは、コントロールで使用できる最大スコアの一部が付与されます。

ID セキュリティ スコアを使用する方法

ID セキュリティ スコアにアクセスするには:

  1. Microsoft Entra 管理センターに、少なくともグローバル 閲覧者としてサインインします。
  2. Entra ID>Identity Secure Score に移動して、ダッシュボードを表示します。

スコアと関連する推奨事項は 、Entra ID>Overview>Recommendations でも確認できます。

各推奨事項は、構成に基づいて測定されます。 Microsoft 以外の製品を使用してベスト プラクティスの推奨事項を有効にする場合は、改善アクションの設定でこの構成を指定できます。 推奨事項が環境に適用されない場合は、無視するように設定できます。 無視された推奨事項は、スコアの計算には影響しません。

改善アクション パネルのスクリーンショット。

  • に対処するには、改善措置が必要であることを認識し、将来のある時点で対処する予定です。 この状態は、部分的に検出されたが完全には完了していないアクションにも適用されます。
  • 受け入れられるリスク - セキュリティは常に使いやすさとバランスを取る必要があり、すべての推奨事項がすべてのユーザーに対して機能するわけではありません。 その場合は、リスクまたは残りのリスクを受け入れ、改善アクションを適用しないことを選択できます。 ポイントは付与されず、そのアクションは改善アクションの一覧に表示されません。 このアクションは履歴で表示することも、いつでも元に戻すことができます。
  • 計画済み - 改善アクションを完了するための具体的な計画があります。
  • サード パーティを通じて解決 され、 代替の軽減策によって解決された - 改善アクションは、Microsoft 以外のアプリケーションまたはソフトウェア、または内部ツールによって対処されました。 アクションの価値があるポイントが与えられるので、スコアは全体的なセキュリティ体制をよりよく反映します。 Microsoft 以外のツールまたは内部ツールがコントロールをカバーしなくなった場合は、別の状態を選択できます。 改善アクションがこれらの状態のいずれかとしてマークされている場合、Microsoft は実装の完全性を把握していないことを念頭に置いておきます。

よく寄せられる質問

多くの要因がスコアに影響を与える可能性があります。 ID セキュリティ スコアについてよく寄せられる質問を次に示します。

推奨事項はどのようにスコア付けされますか?

推奨事項は、2 つの方法でスコア付けできます。 一部はバイナリ形式でスコア付けされるため、推奨事項に基づいて機能または設定が構成されている場合は、スコアの 100% が得られます。 その他のスコアは、構成全体に対する割合として計算されます。 たとえば、すべてのユーザーを MFA で保護すると、最大 10.71% 増加すると推奨事項に示されています。 100 人の合計ユーザーのうち 5 人が保護されているため、約 0.53% (5 保護/ 100 合計 * 10.71% 最大 = 0.53% 部分スコア) の部分スコアが与えられます。

[スコア付けされない] とはどういう意味ですか?

[スコア付けされていない] というラベルの付いたアクションは、組織内で実行できますが、スコア付けされません。 そのため、セキュリティを引き続き向上させることができますが、現時点ではこれらのアクションに対するクレジットは与えられていません。

スコアが変更されました。 その理由を理解するにはどうすればよいですか?

Microsoft Defender XDR ポータルには、完全な Microsoft セキュリティ スコアが表示されます。 [履歴] タブで詳細な変更を確認することで、セキュリティ スコアに対するすべての変更を簡単に確認できます。

スコアは私が被害を受ける可能性を測定しますか?

いいえ。スコアは、侵害される可能性の絶対的な尺度を表していません。 これは、リスクを "相殺" できる機能をどの程度採用しているかを表しています。 どのサービスも保護を保証できません。スコアは、どのような方法でも保証として解釈されるべきではありません。

目指すべき最小スコアはありますか?

特定のスコアに焦点を当てるのではなく、組織に関連する重要度の高い推奨事項に焦点を当てる必要があります。 重要度の高い推奨事項で高スコアを得ることの方が、重要度の低い推奨事項で高スコアを得ることよりも有益です。

スコアを解釈する方法

スコアは、推奨されるセキュリティ機能を構成したり、セキュリティ関連のタスク (レポートの読み取りなど) を実行したりするために向上します。 一部のアクションは、ユーザーに対して多要素認証 (MFA) を有効にするなど、部分的な完了に対してスコアが付けられます。 セキュリティ スコアは、使用する Microsoft セキュリティ サービスを直接代表します。 セキュリティは使いやすさとバランスを取る必要があることを覚えておいてください。 すべてのセキュリティ コントロールには、ユーザーに影響を与えるコンポーネントがあります。 ユーザーへの影響が少ないコントロールは、ユーザーの日常業務にほとんど影響を与えないはずです。

ID セキュリティ スコアと Microsoft 365 セキュリティ スコアの関係

Microsoft のセキュリティ スコアには、次の 5 つの異なるコントロールとスコアのカテゴリが含まれています。

  • 同一性
  • データ
  • デバイス
  • インフラ
  • アプリ

ID セキュリティ スコアは、Microsoft セキュリティ スコアの ID 部分を表します。 この重複は、Id セキュリティ スコアと Microsoft の ID スコアに関する推奨事項が同じであることを意味します。