Slide 1

Slide 1 text

#JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の多要素認証 村地 彰(Murachi Akira aka hebikuzure) 株式会社エクシード・ワン テクニカル フェロー / Microsoft Most Valuable Professional B03

Slide 2

Slide 2 text

#JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワン テクニカルフェロー ▪ 株式会社シーピーエス 技術 教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ 非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティ カンファレンス 2024 2

Slide 3

Slide 3 text

#JapanM365CC2024 Entra ID の多要素認証 Microsoft 365 管理センターの多要素認証必須化に備えて

Slide 4

Slide 4 text

#JapanM365CC2024 アジェンダ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段 • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証 ▪ まとめ

Slide 5

Slide 5 text

#JapanM365CC2024 多要素認証とは

Slide 6

Slide 6 text

#JapanM365CC2024 パスワード認証のリスク ▪ パスワードはユーザーが設定するので 弱いパスワード 推測されやすいパスワード が利用される可能性がある ▪ パスワードの使い回し 別の場所で漏洩したパスワードが攻撃者に利用される ▪ フィッシング、ハッキング、ソーシャルエンジニアリング パスワードが盗み取られる Japan Microsoft 365 コミュニティ カンファレンス 2024 6

Slide 7

Slide 7 text

#JapanM365CC2024 侵害の事例 ▪ パスワード認証のみの構成で不正アクセスされる事例が多い Japan Microsoft 365 コミュニティ カンファレンス 2024 7

Slide 8

Slide 8 text

#JapanM365CC2024 侵害の事例(1) Japan Microsoft 365 コミュニティ カンファレンス 2024 8 https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000005001

Slide 9

Slide 9 text

#JapanM365CC2024 侵害の事例(2) Japan Microsoft 365 コミュニティ カンファレンス 2024 9 https://www.my-pharm.ac.jp/news/uploads/Report_SecurityIncident_0604.pdf

Slide 10

Slide 10 text

#JapanM365CC2024 侵害の事例(3) Japan Microsoft 365 コミュニティ カンファレンス 2024 10 https://m-sol.co.jp/news/information/202403notice/

Slide 11

Slide 11 text

#JapanM365CC2024 多要素認証(MFA) ▪ Multi Factor Authentication ▪ 複数の認証要素を組み合わせて認証を行う方式 ▪ ユーザーに最低2種類の認証要素を求める Japan Microsoft 365 コミュニティ カンファレンス 2024 11

Slide 12

Slide 12 text

#JapanM365CC2024 複数の認証要素 ▪ 知識情報(Know) • 認証を求めるユーザーが知っていること ▪ 所持情報(Have) • 認証を求めるユーザーが持っているもの ▪ 生体情報(Is) • 認証を求めるユーザー自身の身体的特徴 Japan Microsoft 365 コミュニティ カンファレンス 2024 12

Slide 13

Slide 13 text

#JapanM365CC2024 知識情報(Know) ▪ 認証を求めるユーザーが知っていること • パスワード • パスフレーズ • PIN • 暗証番号 Japan Microsoft 365 コミュニティ カンファレンス 2024 13

Slide 14

Slide 14 text

#JapanM365CC2024 所持情報(Have) ▪ 認証を求めるユーザーが持っているもの • 携帯電話 • ハードウェア トークン • (物理的な)鍵 • 乱数表カード Japan Microsoft 365 コミュニティ カンファレンス 2024 14

Slide 15

Slide 15 text

#JapanM365CC2024 生体情報(Is) ▪ 認証を求めるユーザー自身の身体的特徴 • 指紋 • 掌紋 • 虹彩 • 静脈パターン • 顔 Japan Microsoft 365 コミュニティ カンファレンス 2024 15

Slide 16

Slide 16 text

#JapanM365CC2024 二段階認証・多段階認証 ▪ パスワードに加えてもう一つ以上の認証情報を要求すること ▪ 多要素認証と異なり複数の要素を求めなくとも良い ▪ 例:パスワードに加えて「秘密の質問」を要求する ⇒どちらも「知識情報」の要求 Japan Microsoft 365 コミュニティ カンファレンス 2024 16

Slide 17

Slide 17 text

#JapanM365CC2024 多要素認証の効果 ▪ パスワードだけでは認証されない ▪ 弱いパスワードの利用時 • パスワードが推測されても認証されない ▪ パスワードが盗まれた場合 • パスワードが盗まれても認証されない ▪ パスワードが流出した場合 • パスワードが流出しても認証されない Japan Microsoft 365 コミュニティ カンファレンス 2024 17

Slide 18

Slide 18 text

#JapanM365CC2024 Entra ID の多要素認証

Slide 19

Slide 19 text

#JapanM365CC2024 Entra ID の多要素認証 ▪ 1段階目の認証(プライマリ認証) ▪ 2段階目の認証(セカンダリ認証) ▪ それぞれの段階で利用できる認証方法が決まっている Japan Microsoft 365 コミュニティ カンファレンス 2024 19

Slide 20

Slide 20 text

#JapanM365CC2024 利用できる主な認証手段 Japan Microsoft 365 コミュニティ カンファレンス 2024 20 手段 プライマリ認証 セカンダリ認証 パスワード 〇 × SMS ▲ 〇 〇 音声通話 ▲ × 〇 Microsoft Authenticator パスワードレス 〇 × * Microsoft Authenticator プッシュ通知 × 〇 Authenticator Lite × 〇 Passkey (FIDO2) 〇 〇 OATH ソフトウェア トークン(TOTP) × 〇 Windows Hello for Business 〇 〇 電子証明書 〇 〇

Slide 21

Slide 21 text

#JapanM365CC2024 OATH ▪ ワンタイムパスワード(OTP)を生成するハードウェアやソフトウェアの 国際標準規格(であり、その規格を推進する団体でもある) ▪ ワンタイムパスワードの生成アルゴリズムにより、以下の2種類のワンタイム パスワードが既定されている • OATH-HOTP(HMAC-Based One-time Password) ユーザーが決めたパスコード(シークレット)とOTPの生成回数をもとに OTPを生成する方式 Entra ID ではサポートされない • OATH-TOTP(Time-based One-time Password) 現在時刻と共有シークレットに基づいてOTP を生成する方式 Japan Microsoft 365 コミュニティ カンファレンス 2024 21

Slide 22

Slide 22 text

#JapanM365CC2024 TOTP ▪ 現在時刻と共有シークレットに基づいて生成されるワンタイム パスワードを利用する認証方式 ▪ 生成された OTP は一定時間だけ有効 ▪ Entra ID では OATH 規格のソフトウェア トークンで生成された TOTP に対 応 (ハードウェア トークンの TOTP はプレビュー) ▪ ソフトウェア トークンとして利用可能なアプリの例 • Microsoft Authenticator • Google Authenticator Japan Microsoft 365 コミュニティ カンファレンス 2024 22

Slide 23

Slide 23 text

#JapanM365CC2024 Microsoft Authenticator の TOTP ▪ 登録されているアカウントをタップすると、 TOTP が表示される ▪ 30秒ごとに新しい TOTP が生成される ▪ 新しい TOTP が生成されると、1つ前の TOTP は 無効になる ▪ AWS アカウント、X(旧 Twitter)アカウント、 Facebook アカウント、Google アカウントなどの 多要素認証でも利用可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 23

Slide 24

Slide 24 text

#JapanM365CC2024 Microsoft Authenticator パスワードレス ▪ パスワードを利用しない認証方法 ▪ Entra ID に登録され MDM で管理されているデバイスでのみ利用可能 • デバイスで PIN、パスワード、または生体認証による画面ロックを構成 • Microsoft Authenticator の利用には画面ロックの解除が必須 ▪ サインイン画面に表示される2桁のコードを Authenticator の通 知に入力して認証 Japan Microsoft 365 コミュニティ カンファレンス 2024 24

Slide 25

Slide 25 text

#JapanM365CC2024 パスワードレス認証の安全性 ▪ 単独でデバイスの所持(所有情報)と知識情報(PIN・パスワード) または生体情報の2要素を要求する ▪ パスワードが無い Japan Microsoft 365 コミュニティ カンファレンス 2024 25

Slide 26

Slide 26 text

#JapanM365CC2024 Microsoft Authenticator プッシュ通知 ▪ サインイン画面に表示される2桁のコードを Authenticator の通知に入力 して認証 Japan Microsoft 365 コミュニティ カンファレンス 2024 26

Slide 27

Slide 27 text

#JapanM365CC2024 パスワードレスとプッシュ通知の違い ▪ パスワードレス • MDM での管理デバイスでのみ利用可能 • Authenticator の利用に PIN、パスワード、または生体認証による 画面ロックの解除が必須 ▪ プッシュ通知 • 非管理デバイスでも利用可能 • Authenticator の利用で画面ロックの解除は必須でない ( Authenticator の設定で画面ロック解除を求めることは可能) • プライマリ認証に使用不可 Japan Microsoft 365 コミュニティ カンファレンス 2024 27

Slide 28

Slide 28 text

#JapanM365CC2024 Authenticator Lite ▪ Outlook モバイルアプリで利用できる Microsoft Authenticator の 簡易版 ▪ プッシュ通知と TOTP ソフトウェアトークンとして利用可能 ▪ 2024年6月26日以降、既定で有効になっています Outlook モバイルに対して Microsoft Authenticator Lite を有効にする方 法 - Microsoft Entra ID | Microsoft Learn Japan Microsoft 365 コミュニティ カンファレンス 2024 28

Slide 29

Slide 29 text

#JapanM365CC2024 Authenticator Lite のプッシュ通知 Japan Microsoft 365 コミュニティ カンファレンス 2024 29

Slide 30

Slide 30 text

#JapanM365CC2024 Windows Hello for Business ▪ Entra ID 参加した Windows デバイスでのみ利用可能 ▪ デバイス(Windows)に表示される通知で PIN または生体認証を行う ▪ 「デバイスに登録されたキーや証明書」+「PIN(知識情報)または指紋や 顔(生体情報)」で認証 ▪ 単独で多要素認証となる Japan Microsoft 365 コミュニティ カンファレンス 2024 30

Slide 31

Slide 31 text

#JapanM365CC2024 多要素認証を 有効にする

Slide 32

Slide 32 text

#JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証(非推奨) Japan Microsoft 365 コミュニティ カンファレンス 2024 32

Slide 33

Slide 33 text

#JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証(非推奨) Japan Microsoft 365 コミュニティ カンファレンス 2024 33

Slide 34

Slide 34 text

#JapanM365CC2024 セキュリティの既定値群 ▪ 一般的なパスワード侵害から、簡単な手順で組織を保護できる • パスワードスプレー攻撃 • リプレイ攻撃 • フィッシング • ソーシャルエンジニアリング ▪ 構成すれば自動的にセキュリティ強化の構成が有効になる Japan Microsoft 365 コミュニティ カンファレンス 2024 34

Slide 35

Slide 35 text

#JapanM365CC2024 セキュリティの既定値群の構成 ▪ 多要素認証の登録:すべてのユーザーに対して必須 ▪ 管理者の多要素認証:管理者に実行を要求 • 特権作業(管理センターへのアクセスなど)の保護 ▪ ユーザーの多要素認証:必要に応じて実行を要求 • 不審なサインインアクティビティの保護 • 通常とは異なる場所からのサインインに対して多要素認証を要求 ▪ レガシ認証プロトコルのブロック(以下例) • Exchange Active Sync 基本認証 • IMAP、SMTP、POP3 などの古いメール プロトコル • 先進認証を使用していないクライアント (Office 2010 クライアントなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 35

Slide 36

Slide 36 text

#JapanM365CC2024 セキュリティの既定値群の既定値 ▪ 2019 年 10 月 21 日以降に作成されたテナント: 既定で有効 ▪ それ以前に作成されたテナント: 2022 年 6 月末移行有効化が促されています ▪ 明示的にオプトアウトしていない場合、自動的 に有効化されている場合があります Japan Microsoft 365 コミュニティ カンファレンス 2024 36

Slide 37

Slide 37 text

#JapanM365CC2024 セキュリティの既定値群の有効化/無効化 ▪ Microsoft Entra 管理センターにアクセス ▪ [ID] – [概要] – [プロパティ] Japan Microsoft 365 コミュニティ カンファレンス 2024 37 [セキュリティの既定値の管理]

Slide 38

Slide 38 text

#JapanM365CC2024 有効/無効の切り替え Japan Microsoft 365 コミュニティ カンファレンス 2024 38 無効化する場合はその理由の フィードバックが必須

Slide 39

Slide 39 text

#JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証(非推奨) Japan Microsoft 365 コミュニティ カンファレンス 2024 39

Slide 40

Slide 40 text

#JapanM365CC2024 条件付きアクセス リソースへのアクセスに対して 1. シグナルを確認 2. 決定を行う 3. ポリシーを適用する ことで、アクセス制御を行う仕組み Japan Microsoft 365 コミュニティ カンファレンス 2024 40

Slide 41

Slide 41 text

#JapanM365CC2024 シグナル ▪ ユーザーまたはグループ メンバーシップ ▪ アクセス元の IP アドレス ▪ アクセスに使用されているデバイス ▪ アクセス先のアプリケーション ▪ 検出されたリスク Japan Microsoft 365 コミュニティ カンファレンス 2024 41

Slide 42

Slide 42 text

#JapanM365CC2024 決定 ▪ アクセスのブロック • 最も制限の厳しい決定 ▪ アクセス権の付与(以下の条件を付けることが可能) • 多要素認証を要求する • 認証強度が必要 • デバイスは準拠としてマーク済みである必要がある • Microsoft Entra ハイブリッド参加済みデバイスが必要 • 承認済みクライアント アプリを必須にする • アプリの保護ポリシーを必須にする • パスワードの変更を必須とする • 利用規約が必須 Japan Microsoft 365 コミュニティ カンファレンス 2024 42

Slide 43

Slide 43 text

#JapanM365CC2024 条件付きアクセスのメリット ▪ 不正アクセスからの保護・セキュリティの向上 ▪ ゼロトラスト セキュリティへの対応 ▪ 多要素認証の要求 ▪ 柔軟なポリシー設定 ▪ 生産性の向上 Japan Microsoft 365 コミュニティ カンファレンス 2024 43

Slide 44

Slide 44 text

#JapanM365CC2024 条件付きアクセスのユースケース ▪ 管理者の役割を持つユーザーに多要素認証を要求する ▪ Azure 管理タスクに多要素認証を要求する ▪ レガシ認証プロトコルを使用しようとしているユーザーのサインインをブ ロックする ▪ セキュリティ情報の登録に信頼できる場所を要求する ▪ 特定の場所からのアクセスをブロックまたは許可する ▪ リスクの高いサインイン動作をブロックする ▪ 特定のアプリケーションに対して、組織のマネージド デバイスを必要とする Japan Microsoft 365 コミュニティ カンファレンス 2024 44

Slide 45

Slide 45 text

#JapanM365CC2024 条件付きアクセスの構成 ▪ [Entra 管理センター] – [ID] – [保護] – [条件付きアクセス] Japan Microsoft 365 コミュニティ カンファレンス 2024 45

Slide 46

Slide 46 text

#JapanM365CC2024 ポリシーの構成 ▪ ポリシーを作成して有効化する ▪ 詳しくは以下参照 Microsoft Entra 多要素認証を有効にする - Microsoft Entra ID Japan Microsoft 365 コミュニティ カンファレンス 2024 46

Slide 47

Slide 47 text

#JapanM365CC2024 条件付きアクセスのライセンス ▪ Entra ID P1 または P2 ライセンスが必要 * ▪ Entra ID P1 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 Business Premium • Microsoft 365 E3 ▪ Entra ID P2 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 E5 Japan Microsoft 365 コミュニティ カンファレンス 2024 47 * リスク ベースのシグナルを利用したポリシーの構成には P2 ライセンスが必要

Slide 48

Slide 48 text

#JapanM365CC2024 管理ポータルに必須の 多要素認証

Slide 49

Slide 49 text

#JapanM365CC2024 管理ポータルでの多要素認証の必要性 ▪ テナントのセキュリティを高める • 特権アカウントの侵害のリスクを低減する • テナントのユーザー・データ・コンテンツを保護する Japan Microsoft 365 コミュニティ カンファレンス 2024 49

Slide 50

Slide 50 text

#JapanM365CC2024 多要素認証必須化のスケジュール ▪ 2024年10月15日 • Microsoft Azure ポータル • Microsoft Entra 管理センター • Microsoft Intune 管理センター ▪ 2025年2月3日 • Microsoft 365 管理センター (各サービスの管理センターを含む) Japan Microsoft 365 コミュニティ カンファレンス 2024 50

Slide 51

Slide 51 text

#JapanM365CC2024 必須化の延期 ▪ 申請で必須化の延期は可能 • 「延期」であって、必須化の除外ではない ▪ https://aka.ms/managemfaforazure から申請 ▪ 詳細は以下参照 MC862873 - Azure ポータル (および Azure CLI 等) の MFA 義務付けの延 長申請について | Japan Azure Identity Support Blog Japan Microsoft 365 コミュニティ カンファレンス 2024 51

Slide 52

Slide 52 text

#JapanM365CC2024 Call to action

Slide 53

Slide 53 text

#JapanM365CC2024 必須の多要素認証に備える ▪ 「セキュリティの既定値群」が無効・条件付きアクセス未構成なら、 ただちに「セキュリティの既定値群」を有効に! ▪ 「セキュリティの既定値群」が組織の要件に合わない場合 • 条件付きアクセスを構成する • Entra ID P1/P2 ライセンスが無い場合は、アドオンまたは上位の Microsoft 365 サブスクリプションへのアップグレードを検討する

Slide 54

Slide 54 text

#JapanM365CC2024 まとめ

Slide 55

Slide 55 text

#JapanM365CC2024 まとめ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段 • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証

Slide 56

Slide 56 text

#JapanM365CC2024 56 フィードバックにご協力ください ご視聴をありがとうございました! 運営チームメンバー、登壇者、サポートメンバーに対する 暖かいフィードバックをお待ちしております。 次回の開催は未定ですが、フィードバックの内容によっては次回の開催も検討いたします。 イベント全体に対するアンケート 本セッションついて参考になった点や 感銘を受けた点、もっと知りたかったことなどをお寄せください。 本セッションに対するアンケート