次の方法で共有

レガシ認証ブックを使用したサインイン

テナントでレガシ認証をオフにしても安全かどうかを判断する方法について疑問に思ったことはありますか? レガシ認証ブックを使用したサインインは、この質問に答えるのに役立ちます。

この記事では、レガシ認証ブックを使ったサインインの概要について説明します。

前提条件

Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。

  • Premium P1 ライセンスがある Microsoft Entra テナント
  • Log Analytics ワークスペースそのワークスペースへのアクセス
  • Azure Monitor および Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Microsoft Entra ブックを使用するLog Analytics ワークスペース を作成する必要があります。 Log Analytics ワークスペースへのアクセスはいくつかの要因によって決まります。 ワークスペースデータを送信するリソースに対する適切なロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロールが用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセスを付与する 2 つの Log Analytics 組み込みロールも用意されています。

  • 表示:

    • 監視リーダー
    • Log Analytics 閲覧者

  • 設定の表示および変更:

    • モニタリング貢献者
    • Log Analytics 共同作成者

Microsoft Entra ロール

読み取り専用アクセスでは、ブック内の Microsoft Entra ID ログ データを表示したり、Log Analytics からデータのクエリを実行したり、Microsoft Entra 管理センターでログを読み取ったりすることができます。 更新アクセスにより、Microsoft Entra データを Log Analytics ワークスペースに送信するための診断設定を作成および編集する機能が追加されます。

  • 読み取り:

    • レポート閲覧者
    • セキュリティ閲覧者
    • グローバル閲覧者

  • 更新:

    • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。

説明

ブック サムネイルのスクリーンショット。

Microsoft Entra ID では、レガシ認証を含め、最も広く使用されている認証および承認のプロトコルを複数サポートしています。 レガシ認証とは、クライアントを介して ID プロバイダーにユーザー名とパスワードの情報を渡す、広く使用されている業界標準の方法の基本認証を指します。

通常は、レガシ認証を使用する、または、これのみを使用するアプリケーションの例を次に示します。

  • Microsoft Office 2013 以前。

  • POP、IMAP、SMTP AUTH などのメールプロトコルでレガシ認証を使用しているアプリ。

単一要素認証 (ユーザー名やパスワードなど) では、今日のコンピューティング環境に必要な保護レベルは提供されません。 パスワードは、簡単に推測できるうえに、適切なパスワードの選定は難しいため、不十分です。

残念ながら、レガシ認証では:

  • 多要素認証 (MFA) や他の強力な認証方法はサポートされていません。

  • 組織がパスワードレス認証に移行することは不可能になります。

Microsoft Entra テナントのセキュリティとユーザー エクスペリエンスを向上させるためには、レガシ認証を無効にする必要があります。 ただし、テナントの重要なユーザー エクスペリエンスは、レガシ認証に依存している場合があります。 レガシ認証をオフにする前に、それらのケースを見つけて、より安全な認証に移行することができます。

レガシ認証を使用したサインイン ブックを使うと、環境内のすべてのレガシ認証のサインインを表示できます。 このブックは、レガシ認証の使用を停止する前に、重要なワークフローを見つけて、より安全な認証方法に移行するのに役立ちます。

ブックにアクセスする方法

  1. 適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。

  2. [Entra ID]>[監視とヘルス]>[ブック] の順に移動します。

  3. [使用状況] セクションで、[レガシ認証を使用したサインイン] ブックを選択します。

ブックのセクション

このブックを使用すると、対話型サインインと非対話型サインインを区別できます。このブックでは、テナント全体でどのレガシー認証プロトコルが使用されているかを明らかにします。

データ収集は、次の 3 つのステップで構成されます。

  1. レガシ認証プロトコルを選択し、アプリケーションを選択すると、そのアプリケーションにアクセスするユーザーでフィルタリングされます。

  2. ユーザーを選択すると、選択したアプリに対するレガシ認証によるすべてのサインインが表示されます。

  3. レガシ認証の使用方法を理解するために、ユーザーのすべてのレガシ認証サインインを表示します。

フィルター

このブックでは、複数のフィルターがサポートされています。

  • 時間の範囲 (最大 90 日間)

  • ユーザー プリンシパル名

  • アプリケーション

  • サインインの状態 (成功または失敗)

フィルター オプション

ベスト プラクティス

  • お客様の環境でレガシ認証をブロックするためのガイダンスについては、「条件付きアクセスを使用して Microsoft Entra ID へのレガシ認証をブロックする」を参照してください。

  • かつてレガシ認証に依存していた多くの電子メールプロトコルは、現在ではより安全な最新の認証方式をサポートしています。 このブックにレガシ電子メール認証プロトコルが表示される場合は、代わりに電子メールの最新の認証への移行を検討してください。 詳細については、Exchange Online での基本認証の非推奨に関するページをご覧ください。

  • 一部のクライアントでは、クライアントの構成に応じて、レガシ認証と最新の認証の両方を使用できます。 クライアントの「最新のモバイル/デスクトップ クライアント」または「ブラウザー」が Microsoft Entra ログに表示される場合は、先進認証が使用されています。 「Exchange ActiveSync」などの特定のクライアントまたはプロトコル名がある場合は、Microsoft Entra ID への接続にレガシ認証が使用されています。 条件付きアクセスのクライアントの種類と、Microsoft Entra 管理センター の Microsoft Entra レポート ページでは、最新の認証クライアントとレガシ認証クライアントを区別しており、レガシ認証だけがこのブックにキャプチャされます。

  • ID*保護*の詳細については、「ID*保護*とは」を参照してください。

  • Microsoft Entra ブックの詳細については、「Microsoft Entra ブックの使用方法」を参照してください。

関連するコンテンツ