Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Entra ID の多要素認証(Japan Microsoft 365 コミュニティ カンファ...

Murachi Akira
November 28, 2024

Entra ID の多要素認証(Japan Microsoft 365 コミュニティ カンファレンス 2024 )

Japan Microsoft 365 コミュニティ カンファレンス 2024 で発表したセッションのスライドです。
https://japan-m365-community-conference-2024.connpass.com/event/332074/

Murachi Akira

November 28, 2024
Tweet

More Decks by Murachi Akira

Other Decks in Technology

Transcript

  1. #JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の多要素認証 村地 彰(Murachi

    Akira aka hebikuzure) 株式会社エクシード・ワン テクニカル フェロー / Microsoft Most Valuable Professional B03
  2. #JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワン テクニカルフェロー

    ▪ 株式会社シーピーエス 技術 教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ 非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティ カンファレンス 2024 2
  3. #JapanM365CC2024 アジェンダ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段

    • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証 ▪ まとめ
  4. #JapanM365CC2024 複数の認証要素 ▪ 知識情報(Know) • 認証を求めるユーザーが知っていること ▪ 所持情報(Have) • 認証を求めるユーザーが持っているもの

    ▪ 生体情報(Is) • 認証を求めるユーザー自身の身体的特徴 Japan Microsoft 365 コミュニティ カンファレンス 2024 12
  5. #JapanM365CC2024 所持情報(Have) ▪ 認証を求めるユーザーが持っているもの • 携帯電話 • ハードウェア トークン •

    (物理的な)鍵 • 乱数表カード Japan Microsoft 365 コミュニティ カンファレンス 2024 14
  6. #JapanM365CC2024 生体情報(Is) ▪ 認証を求めるユーザー自身の身体的特徴 • 指紋 • 掌紋 • 虹彩

    • 静脈パターン • 顔 Japan Microsoft 365 コミュニティ カンファレンス 2024 15
  7. #JapanM365CC2024 多要素認証の効果 ▪ パスワードだけでは認証されない ▪ 弱いパスワードの利用時 • パスワードが推測されても認証されない ▪ パスワードが盗まれた場合

    • パスワードが盗まれても認証されない ▪ パスワードが流出した場合 • パスワードが流出しても認証されない Japan Microsoft 365 コミュニティ カンファレンス 2024 17
  8. #JapanM365CC2024 利用できる主な認証手段 Japan Microsoft 365 コミュニティ カンファレンス 2024 20 手段

    プライマリ認証 セカンダリ認証 パスワード 〇 × SMS ▲ 〇 〇 音声通話 ▲ × 〇 Microsoft Authenticator パスワードレス 〇 × * Microsoft Authenticator プッシュ通知 × 〇 Authenticator Lite × 〇 Passkey (FIDO2) 〇 〇 OATH ソフトウェア トークン(TOTP) × 〇 Windows Hello for Business 〇 〇 電子証明書 〇 〇
  9. #JapanM365CC2024 OATH ▪ ワンタイムパスワード(OTP)を生成するハードウェアやソフトウェアの 国際標準規格(であり、その規格を推進する団体でもある) ▪ ワンタイムパスワードの生成アルゴリズムにより、以下の2種類のワンタイム パスワードが既定されている • OATH-HOTP(HMAC-Based

    One-time Password) ユーザーが決めたパスコード(シークレット)とOTPの生成回数をもとに OTPを生成する方式 Entra ID ではサポートされない • OATH-TOTP(Time-based One-time Password) 現在時刻と共有シークレットに基づいてOTP を生成する方式 Japan Microsoft 365 コミュニティ カンファレンス 2024 21
  10. #JapanM365CC2024 TOTP ▪ 現在時刻と共有シークレットに基づいて生成されるワンタイム パスワードを利用する認証方式 ▪ 生成された OTP は一定時間だけ有効 ▪

    Entra ID では OATH 規格のソフトウェア トークンで生成された TOTP に対 応 (ハードウェア トークンの TOTP はプレビュー) ▪ ソフトウェア トークンとして利用可能なアプリの例 • Microsoft Authenticator • Google Authenticator Japan Microsoft 365 コミュニティ カンファレンス 2024 22
  11. #JapanM365CC2024 Microsoft Authenticator の TOTP ▪ 登録されているアカウントをタップすると、 TOTP が表示される ▪

    30秒ごとに新しい TOTP が生成される ▪ 新しい TOTP が生成されると、1つ前の TOTP は 無効になる ▪ AWS アカウント、X(旧 Twitter)アカウント、 Facebook アカウント、Google アカウントなどの 多要素認証でも利用可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 23
  12. #JapanM365CC2024 Microsoft Authenticator パスワードレス ▪ パスワードを利用しない認証方法 ▪ Entra ID に登録され

    MDM で管理されているデバイスでのみ利用可能 • デバイスで PIN、パスワード、または生体認証による画面ロックを構成 • Microsoft Authenticator の利用には画面ロックの解除が必須 ▪ サインイン画面に表示される2桁のコードを Authenticator の通 知に入力して認証 Japan Microsoft 365 コミュニティ カンファレンス 2024 24
  13. #JapanM365CC2024 パスワードレスとプッシュ通知の違い ▪ パスワードレス • MDM での管理デバイスでのみ利用可能 • Authenticator の利用に

    PIN、パスワード、または生体認証による 画面ロックの解除が必須 ▪ プッシュ通知 • 非管理デバイスでも利用可能 • Authenticator の利用で画面ロックの解除は必須でない ( Authenticator の設定で画面ロック解除を求めることは可能) • プライマリ認証に使用不可 Japan Microsoft 365 コミュニティ カンファレンス 2024 27
  14. #JapanM365CC2024 Authenticator Lite ▪ Outlook モバイルアプリで利用できる Microsoft Authenticator の 簡易版

    ▪ プッシュ通知と TOTP ソフトウェアトークンとして利用可能 ▪ 2024年6月26日以降、既定で有効になっています Outlook モバイルに対して Microsoft Authenticator Lite を有効にする方 法 - Microsoft Entra ID | Microsoft Learn Japan Microsoft 365 コミュニティ カンファレンス 2024 28
  15. #JapanM365CC2024 Windows Hello for Business ▪ Entra ID 参加した Windows

    デバイスでのみ利用可能 ▪ デバイス(Windows)に表示される通知で PIN または生体認証を行う ▪ 「デバイスに登録されたキーや証明書」+「PIN(知識情報)または指紋や 顔(生体情報)」で認証 ▪ 単独で多要素認証となる Japan Microsoft 365 コミュニティ カンファレンス 2024 30
  16. #JapanM365CC2024 セキュリティの既定値群 ▪ 一般的なパスワード侵害から、簡単な手順で組織を保護できる • パスワードスプレー攻撃 • リプレイ攻撃 • フィッシング

    • ソーシャルエンジニアリング ▪ 構成すれば自動的にセキュリティ強化の構成が有効になる Japan Microsoft 365 コミュニティ カンファレンス 2024 34
  17. #JapanM365CC2024 セキュリティの既定値群の構成 ▪ 多要素認証の登録:すべてのユーザーに対して必須 ▪ 管理者の多要素認証:管理者に実行を要求 • 特権作業(管理センターへのアクセスなど)の保護 ▪ ユーザーの多要素認証:必要に応じて実行を要求

    • 不審なサインインアクティビティの保護 • 通常とは異なる場所からのサインインに対して多要素認証を要求 ▪ レガシ認証プロトコルのブロック(以下例) • Exchange Active Sync 基本認証 • IMAP、SMTP、POP3 などの古いメール プロトコル • 先進認証を使用していないクライアント (Office 2010 クライアントなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 35
  18. #JapanM365CC2024 セキュリティの既定値群の既定値 ▪ 2019 年 10 月 21 日以降に作成されたテナント: 既定で有効

    ▪ それ以前に作成されたテナント: 2022 年 6 月末移行有効化が促されています ▪ 明示的にオプトアウトしていない場合、自動的 に有効化されている場合があります Japan Microsoft 365 コミュニティ カンファレンス 2024 36
  19. #JapanM365CC2024 セキュリティの既定値群の有効化/無効化 ▪ Microsoft Entra 管理センターにアクセス ▪ [ID] – [概要]

    – [プロパティ] Japan Microsoft 365 コミュニティ カンファレンス 2024 37 [セキュリティの既定値の管理]
  20. #JapanM365CC2024 シグナル ▪ ユーザーまたはグループ メンバーシップ ▪ アクセス元の IP アドレス ▪

    アクセスに使用されているデバイス ▪ アクセス先のアプリケーション ▪ 検出されたリスク Japan Microsoft 365 コミュニティ カンファレンス 2024 41
  21. #JapanM365CC2024 決定 ▪ アクセスのブロック • 最も制限の厳しい決定 ▪ アクセス権の付与(以下の条件を付けることが可能) • 多要素認証を要求する

    • 認証強度が必要 • デバイスは準拠としてマーク済みである必要がある • Microsoft Entra ハイブリッド参加済みデバイスが必要 • 承認済みクライアント アプリを必須にする • アプリの保護ポリシーを必須にする • パスワードの変更を必須とする • 利用規約が必須 Japan Microsoft 365 コミュニティ カンファレンス 2024 42
  22. #JapanM365CC2024 条件付きアクセスのユースケース ▪ 管理者の役割を持つユーザーに多要素認証を要求する ▪ Azure 管理タスクに多要素認証を要求する ▪ レガシ認証プロトコルを使用しようとしているユーザーのサインインをブ ロックする

    ▪ セキュリティ情報の登録に信頼できる場所を要求する ▪ 特定の場所からのアクセスをブロックまたは許可する ▪ リスクの高いサインイン動作をブロックする ▪ 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする Japan Microsoft 365 コミュニティ カンファレンス 2024 44
  23. #JapanM365CC2024 条件付きアクセスの構成 ▪ [Entra 管理センター] – [ID] – [保護] –

    [条件付きアクセス] Japan Microsoft 365 コミュニティ カンファレンス 2024 45
  24. #JapanM365CC2024 条件付きアクセスのライセンス ▪ Entra ID P1 または P2 ライセンスが必要 *

    ▪ Entra ID P1 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 Business Premium • Microsoft 365 E3 ▪ Entra ID P2 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 E5 Japan Microsoft 365 コミュニティ カンファレンス 2024 47 * リスク ベースのシグナルを利用したポリシーの構成には P2 ライセンスが必要
  25. #JapanM365CC2024 多要素認証必須化のスケジュール ▪ 2024年10月15日 • Microsoft Azure ポータル • Microsoft

    Entra 管理センター • Microsoft Intune 管理センター ▪ 2025年2月3日 • Microsoft 365 管理センター (各サービスの管理センターを含む) Japan Microsoft 365 コミュニティ カンファレンス 2024 50
  26. #JapanM365CC2024 必須化の延期 ▪ 申請で必須化の延期は可能 • 「延期」であって、必須化の除外ではない ▪ https://aka.ms/managemfaforazure から申請 ▪

    詳細は以下参照 MC862873 - Azure ポータル (および Azure CLI 等) の MFA 義務付けの延 長申請について | Japan Azure Identity Support Blog Japan Microsoft 365 コミュニティ カンファレンス 2024 51
  27. #JapanM365CC2024 まとめ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段

    • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証