Entra ID の多要素認証（Japan Microsoft 365 コミュニティカンファレンス 2024 ）

Slide 1

Slide 1 text

#JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の多要素認証村地彰（Murachi Akira aka hebikuzure）株式会社エクシード・ワンテクニカルフェロー / Microsoft Most Valuable Professional B03

Slide 2

Slide 2 text

#JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワンテクニカルフェロー ▪ 株式会社シーピーエス技術教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティカンファレンス 2024 2

Slide 3

Slide 3 text

#JapanM365CC2024 Entra ID の多要素認証 Microsoft 365 管理センターの多要素認証必須化に備えて

Slide 4

Slide 4 text

#JapanM365CC2024 アジェンダ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段 • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証 ▪ まとめ

Slide 5

Slide 5 text

#JapanM365CC2024 多要素認証とは

Slide 6

Slide 6 text

#JapanM365CC2024 パスワード認証のリスク ▪ パスワードはユーザーが設定するので弱いパスワード推測されやすいパスワードが利用される可能性がある ▪ パスワードの使い回し別の場所で漏洩したパスワードが攻撃者に利用される ▪ フィッシング、ハッキング、ソーシャルエンジニアリングパスワードが盗み取られる Japan Microsoft 365 コミュニティカンファレンス 2024 6

Slide 7

Slide 7 text

#JapanM365CC2024 侵害の事例 ▪ パスワード認証のみの構成で不正アクセスされる事例が多い Japan Microsoft 365 コミュニティカンファレンス 2024 7

Slide 8

Slide 8 text

#JapanM365CC2024 侵害の事例（１） Japan Microsoft 365 コミュニティカンファレンス 2024 8 https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000005001

Slide 9

Slide 9 text

#JapanM365CC2024 侵害の事例（２） Japan Microsoft 365 コミュニティカンファレンス 2024 9 https://www.my-pharm.ac.jp/news/uploads/Report_SecurityIncident_0604.pdf

Slide 10

Slide 10 text

#JapanM365CC2024 侵害の事例（３） Japan Microsoft 365 コミュニティカンファレンス 2024 10 https://m-sol.co.jp/news/information/202403notice/

Slide 11

Slide 11 text

#JapanM365CC2024 多要素認証（MFA） ▪ Multi Factor Authentication ▪ 複数の認証要素を組み合わせて認証を行う方式 ▪ ユーザーに最低２種類の認証要素を求める Japan Microsoft 365 コミュニティカンファレンス 2024 11

Slide 12

Slide 12 text

#JapanM365CC2024 複数の認証要素 ▪ 知識情報（Know） • 認証を求めるユーザーが知っていること ▪ 所持情報（Have） • 認証を求めるユーザーが持っているもの ▪ 生体情報（Is） • 認証を求めるユーザー自身の身体的特徴 Japan Microsoft 365 コミュニティカンファレンス 2024 12

Slide 13

Slide 13 text

#JapanM365CC2024 知識情報（Know） ▪ 認証を求めるユーザーが知っていること • パスワード • パスフレーズ • PIN • 暗証番号 Japan Microsoft 365 コミュニティカンファレンス 2024 13

Slide 14

Slide 14 text

#JapanM365CC2024 所持情報（Have） ▪ 認証を求めるユーザーが持っているもの • 携帯電話 • ハードウェアトークン • （物理的な）鍵 • 乱数表カード Japan Microsoft 365 コミュニティカンファレンス 2024 14

Slide 15

Slide 15 text

#JapanM365CC2024 生体情報（Is） ▪ 認証を求めるユーザー自身の身体的特徴 • 指紋 • 掌紋 • 虹彩 • 静脈パターン • 顔 Japan Microsoft 365 コミュニティカンファレンス 2024 15

Slide 16

Slide 16 text

#JapanM365CC2024 二段階認証・多段階認証 ▪ パスワードに加えてもう一つ以上の認証情報を要求すること ▪ 多要素認証と異なり複数の要素を求めなくとも良い ▪ 例：パスワードに加えて「秘密の質問」を要求する ⇒どちらも「知識情報」の要求 Japan Microsoft 365 コミュニティカンファレンス 2024 16

Slide 17

Slide 17 text

#JapanM365CC2024 多要素認証の効果 ▪ パスワードだけでは認証されない ▪ 弱いパスワードの利用時 • パスワードが推測されても認証されない ▪ パスワードが盗まれた場合 • パスワードが盗まれても認証されない ▪ パスワードが流出した場合 • パスワードが流出しても認証されない Japan Microsoft 365 コミュニティカンファレンス 2024 17

Slide 18

Slide 18 text

#JapanM365CC2024 Entra ID の多要素認証

Slide 19

Slide 19 text

#JapanM365CC2024 Entra ID の多要素認証 ▪ 1段階目の認証（プライマリ認証） ▪ 2段階目の認証（セカンダリ認証） ▪ それぞれの段階で利用できる認証方法が決まっている Japan Microsoft 365 コミュニティカンファレンス 2024 19

Slide 20

Slide 20 text

#JapanM365CC2024 利用できる主な認証手段 Japan Microsoft 365 コミュニティカンファレンス 2024 20 手段プライマリ認証セカンダリ認証パスワード〇 × SMS ▲ 〇〇音声通話 ▲ × 〇 Microsoft Authenticator パスワードレス〇 × * Microsoft Authenticator プッシュ通知 × 〇 Authenticator Lite × 〇 Passkey (FIDO2) 〇〇 OATH ソフトウェアトークン（TOTP） × 〇 Windows Hello for Business 〇〇電子証明書〇〇

Slide 21

Slide 21 text

#JapanM365CC2024 OATH ▪ ワンタイムパスワード（OTP）を生成するハードウェアやソフトウェアの国際標準規格（であり、その規格を推進する団体でもある） ▪ ワンタイムパスワードの生成アルゴリズムにより、以下の2種類のワンタイムパスワードが既定されている • OATH-HOTP（HMAC-Based One-time Password）ユーザーが決めたパスコード（シークレット）とOTPの生成回数をもとに OTPを生成する方式 Entra ID ではサポートされない • OATH-TOTP（Time-based One-time Password）現在時刻と共有シークレットに基づいてOTP を生成する方式 Japan Microsoft 365 コミュニティカンファレンス 2024 21

Slide 22

Slide 22 text

#JapanM365CC2024 TOTP ▪ 現在時刻と共有シークレットに基づいて生成されるワンタイムパスワードを利用する認証方式 ▪ 生成された OTP は一定時間だけ有効 ▪ Entra ID では OATH 規格のソフトウェアトークンで生成された TOTP に対応（ハードウェアトークンの TOTP はプレビュー） ▪ ソフトウェアトークンとして利用可能なアプリの例 • Microsoft Authenticator • Google Authenticator Japan Microsoft 365 コミュニティカンファレンス 2024 22

Slide 23

Slide 23 text

#JapanM365CC2024 Microsoft Authenticator の TOTP ▪ 登録されているアカウントをタップすると、 TOTP が表示される ▪ 30秒ごとに新しい TOTP が生成される ▪ 新しい TOTP が生成されると、１つ前の TOTP は無効になる ▪ AWS アカウント、X（旧 Twitter）アカウント、 Facebook アカウント、Google アカウントなどの多要素認証でも利用可能 Japan Microsoft 365 コミュニティカンファレンス 2024 23

Slide 24

Slide 24 text

#JapanM365CC2024 Microsoft Authenticator パスワードレス ▪ パスワードを利用しない認証方法 ▪ Entra ID に登録され MDM で管理されているデバイスでのみ利用可能 • デバイスで PIN、パスワード、または生体認証による画面ロックを構成 • Microsoft Authenticator の利用には画面ロックの解除が必須 ▪ サインイン画面に表示される２桁のコードを Authenticator の通知に入力して認証 Japan Microsoft 365 コミュニティカンファレンス 2024 24

Slide 25

Slide 25 text

#JapanM365CC2024 パスワードレス認証の安全性 ▪ 単独でデバイスの所持（所有情報）と知識情報（PIN・パスワード）または生体情報の２要素を要求する ▪ パスワードが無い Japan Microsoft 365 コミュニティカンファレンス 2024 25

Slide 26

Slide 26 text

#JapanM365CC2024 Microsoft Authenticator プッシュ通知 ▪ サインイン画面に表示される２桁のコードを Authenticator の通知に入力して認証 Japan Microsoft 365 コミュニティカンファレンス 2024 26

Slide 27

Slide 27 text

#JapanM365CC2024 パスワードレスとプッシュ通知の違い ▪ パスワードレス • MDM での管理デバイスでのみ利用可能 • Authenticator の利用に PIN、パスワード、または生体認証による画面ロックの解除が必須 ▪ プッシュ通知 • 非管理デバイスでも利用可能 • Authenticator の利用で画面ロックの解除は必須でない（ Authenticator の設定で画面ロック解除を求めることは可能） • プライマリ認証に使用不可 Japan Microsoft 365 コミュニティカンファレンス 2024 27

Slide 28

Slide 28 text

#JapanM365CC2024 Authenticator Lite ▪ Outlook モバイルアプリで利用できる Microsoft Authenticator の簡易版 ▪ プッシュ通知と TOTP ソフトウェアトークンとして利用可能 ▪ 2024年6月26日以降、既定で有効になっています Outlook モバイルに対して Microsoft Authenticator Lite を有効にする方法 - Microsoft Entra ID | Microsoft Learn Japan Microsoft 365 コミュニティカンファレンス 2024 28

Slide 29

Slide 29 text

#JapanM365CC2024 Authenticator Lite のプッシュ通知 Japan Microsoft 365 コミュニティカンファレンス 2024 29

Slide 30

Slide 30 text

#JapanM365CC2024 Windows Hello for Business ▪ Entra ID 参加した Windows デバイスでのみ利用可能 ▪ デバイス（Windows）に表示される通知で PIN または生体認証を行う ▪ 「デバイスに登録されたキーや証明書」＋「PIN（知識情報）または指紋や顔（生体情報）」で認証 ▪ 単独で多要素認証となる Japan Microsoft 365 コミュニティカンファレンス 2024 30

Slide 31

Slide 31 text

#JapanM365CC2024 多要素認証を有効にする

Slide 32

Slide 32 text

#JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証（非推奨） Japan Microsoft 365 コミュニティカンファレンス 2024 32

Slide 33

Slide 33 text

#JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証（非推奨） Japan Microsoft 365 コミュニティカンファレンス 2024 33

Slide 34

Slide 34 text

#JapanM365CC2024 セキュリティの既定値群 ▪ 一般的なパスワード侵害から、簡単な手順で組織を保護できる • パスワードスプレー攻撃 • リプレイ攻撃 • フィッシング • ソーシャルエンジニアリング ▪ 構成すれば自動的にセキュリティ強化の構成が有効になる Japan Microsoft 365 コミュニティカンファレンス 2024 34

Slide 35

Slide 35 text

#JapanM365CC2024 セキュリティの既定値群の構成 ▪ 多要素認証の登録：すべてのユーザーに対して必須 ▪ 管理者の多要素認証：管理者に実行を要求 • 特権作業（管理センターへのアクセスなど）の保護 ▪ ユーザーの多要素認証：必要に応じて実行を要求 • 不審なサインインアクティビティの保護 • 通常とは異なる場所からのサインインに対して多要素認証を要求 ▪ レガシ認証プロトコルのブロック（以下例） • Exchange Active Sync 基本認証 • IMAP、SMTP、POP3 などの古いメールプロトコル • 先進認証を使用していないクライアント (Office 2010 クライアントなど) Japan Microsoft 365 コミュニティカンファレンス 2024 35

Slide 36

Slide 36 text

#JapanM365CC2024 セキュリティの既定値群の既定値 ▪ 2019 年 10 月 21 日以降に作成されたテナント：既定で有効 ▪ それ以前に作成されたテナント： 2022 年 6 月末移行有効化が促されています ▪ 明示的にオプトアウトしていない場合、自動的に有効化されている場合があります Japan Microsoft 365 コミュニティカンファレンス 2024 36

Slide 37

Slide 37 text

#JapanM365CC2024 セキュリティの既定値群の有効化/無効化 ▪ Microsoft Entra 管理センターにアクセス ▪ [ID] – [概要] – [プロパティ] Japan Microsoft 365 コミュニティカンファレンス 2024 37 [セキュリティの既定値の管理]

Slide 38

Slide 38 text

#JapanM365CC2024 有効/無効の切り替え Japan Microsoft 365 コミュニティカンファレンス 2024 38 無効化する場合はその理由のフィードバックが必須

Slide 39

Slide 39 text

#JapanM365CC2024 Entra ID で多要素認証を構成する方法 ▪ セキュリティの既定値群 ▪ 条件付きアクセス ▪ ユーザーごとの多要素認証（非推奨） Japan Microsoft 365 コミュニティカンファレンス 2024 39

Slide 40

Slide 40 text

#JapanM365CC2024 条件付きアクセスリソースへのアクセスに対して 1. シグナルを確認 2. 決定を行う 3. ポリシーを適用することで、アクセス制御を行う仕組み Japan Microsoft 365 コミュニティカンファレンス 2024 40

Slide 41

Slide 41 text

#JapanM365CC2024 シグナル ▪ ユーザーまたはグループメンバーシップ ▪ アクセス元の IP アドレス ▪ アクセスに使用されているデバイス ▪ アクセス先のアプリケーション ▪ 検出されたリスク Japan Microsoft 365 コミュニティカンファレンス 2024 41

Slide 42

Slide 42 text

#JapanM365CC2024 決定 ▪ アクセスのブロック • 最も制限の厳しい決定 ▪ アクセス権の付与（以下の条件を付けることが可能） • 多要素認証を要求する • 認証強度が必要 • デバイスは準拠としてマーク済みである必要がある • Microsoft Entra ハイブリッド参加済みデバイスが必要 • 承認済みクライアントアプリを必須にする • アプリの保護ポリシーを必須にする • パスワードの変更を必須とする • 利用規約が必須 Japan Microsoft 365 コミュニティカンファレンス 2024 42

Slide 43

Slide 43 text

#JapanM365CC2024 条件付きアクセスのメリット ▪ 不正アクセスからの保護・セキュリティの向上 ▪ ゼロトラストセキュリティへの対応 ▪ 多要素認証の要求 ▪ 柔軟なポリシー設定 ▪ 生産性の向上 Japan Microsoft 365 コミュニティカンファレンス 2024 43

Slide 44

Slide 44 text

#JapanM365CC2024 条件付きアクセスのユースケース ▪ 管理者の役割を持つユーザーに多要素認証を要求する ▪ Azure 管理タスクに多要素認証を要求する ▪ レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする ▪ セキュリティ情報の登録に信頼できる場所を要求する ▪ 特定の場所からのアクセスをブロックまたは許可する ▪ リスクの高いサインイン動作をブロックする ▪ 特定のアプリケーションに対して、組織のマネージドデバイスを必要とする Japan Microsoft 365 コミュニティカンファレンス 2024 44

Slide 45

Slide 45 text

#JapanM365CC2024 条件付きアクセスの構成 ▪ [Entra 管理センター] – [ID] – [保護] – [条件付きアクセス] Japan Microsoft 365 コミュニティカンファレンス 2024 45

Slide 46

Slide 46 text

#JapanM365CC2024 ポリシーの構成 ▪ ポリシーを作成して有効化する ▪ 詳しくは以下参照 Microsoft Entra 多要素認証を有効にする - Microsoft Entra ID Japan Microsoft 365 コミュニティカンファレンス 2024 46

Slide 47

Slide 47 text

#JapanM365CC2024 条件付きアクセスのライセンス ▪ Entra ID P1 または P2 ライセンスが必要 * ▪ Entra ID P1 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 Business Premium • Microsoft 365 E3 ▪ Entra ID P2 ライセンスが含まれる Microsoft 365 サブスクリプション • Microsoft 365 E5 Japan Microsoft 365 コミュニティカンファレンス 2024 47 * リスクベースのシグナルを利用したポリシーの構成には P2 ライセンスが必要

Slide 48

Slide 48 text

#JapanM365CC2024 管理ポータルに必須の多要素認証

Slide 49

Slide 49 text

#JapanM365CC2024 管理ポータルでの多要素認証の必要性 ▪ テナントのセキュリティを高める • 特権アカウントの侵害のリスクを低減する • テナントのユーザー・データ・コンテンツを保護する Japan Microsoft 365 コミュニティカンファレンス 2024 49

Slide 50

Slide 50 text

#JapanM365CC2024 多要素認証必須化のスケジュール ▪ 2024年10月15日 • Microsoft Azure ポータル • Microsoft Entra 管理センター • Microsoft Intune 管理センター ▪ 2025年2月3日 • Microsoft 365 管理センター（各サービスの管理センターを含む） Japan Microsoft 365 コミュニティカンファレンス 2024 50

Slide 51

Slide 51 text

#JapanM365CC2024 必須化の延期 ▪ 申請で必須化の延期は可能 • 「延期」であって、必須化の除外ではない ▪ https://aka.ms/managemfaforazure から申請 ▪ 詳細は以下参照 MC862873 - Azure ポータル (および Azure CLI 等) の MFA 義務付けの延長申請について | Japan Azure Identity Support Blog Japan Microsoft 365 コミュニティカンファレンス 2024 51

Slide 52

Slide 52 text

#JapanM365CC2024 Call to action

Slide 53

Slide 53 text

#JapanM365CC2024 必須の多要素認証に備える ▪ 「セキュリティの既定値群」が無効・条件付きアクセス未構成なら、ただちに「セキュリティの既定値群」を有効に！ ▪ 「セキュリティの既定値群」が組織の要件に合わない場合 • 条件付きアクセスを構成する • Entra ID P1/P2 ライセンスが無い場合は、アドオンまたは上位の Microsoft 365 サブスクリプションへのアップグレードを検討する

Slide 54

Slide 54 text

#JapanM365CC2024 まとめ

Slide 55

Slide 55 text

#JapanM365CC2024 まとめ ▪ 多要素認証とは ▪ Microsoft 365 の多要素認証 • 利用できる認証手段 • 用語解説 ▪ 多要素認証を有効にする • セキュリティの既定値群 • 条件付きアクセス ▪ 管理ポータルに必須の多要素認証

Slide 56

Slide 56 text

#JapanM365CC2024 56 フィードバックにご協力くださいご視聴をありがとうございました! 運営チームメンバー、登壇者、サポートメンバーに対する暖かいフィードバックをお待ちしております。次回の開催は未定ですが、フィードバックの内容によっては次回の開催も検討いたします。イベント全体に対するアンケート本セッションついて参考になった点や感銘を受けた点、もっと知りたかったことなどをお寄せください。本セッションに対するアンケート