認証方式の移行が完了していない

MEDIUM

説明

以前は、Microsoft Entra ID の認証設定は、多要素認証 (MFA) とセルフサービスパスワードリセット (SSPR) のそれぞれのポリシーに分割されていました。この断片化されたアプローチにより、認証方式を一貫して管理することが難しくなり、管理の複雑性が高まり、ポリシーの調整ミスによる潜在的なセキュリティリスクが生じました。

実際、これらのレガシーポリシーでは設定が同期されず、認証方式が 1 つのポリシーで有効にされても、別のポリシーでは無効になる可能性があります (システムでは、まず MFA ポリシーをチェックしてから SSPR ポリシーをチェックします)。同期機能がないことにより、旧式化した、あるいは安全性の低い方法によってユーザーが意図せずアクセスを付与されるというシナリオができあがる可能性があります。

さらに、[認証方式] ポリシーとは異なり、レガシーポリシーではグループベースのターゲット設定、あるいは一時アクセスパスFIDO2 セキュリティキーなどの最新の安全な認証オプションがサポートされていません。これにより、さまざまな方法を特定のユーザーグループに適用する機能が制限され、安全な、パスワードレス認証の採用が遅れるため、組織がフィッシングや認証情報盗難にさらされる危険性が高くなります。

BOD 25-01 により強制される、CISA 「Microsoft Entra ID の M365 での安全な設定ベースライン」の MS.AAD.3.4v1 ポリシーでは、「認証方式の管理移行機能を移行完了に設定すべきである」と要求しています。Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「従来の MFA ポリシーと SSPR ポリシーから移行する」ことを推奨しています。

ソリューション

認証方式の一貫性と安全性を確保するために、Microsoft はすべてのレガシー MFA と SSPR 設定を認証方式ポリシーに移行して、より詳細な制御、最新の認証オプション、一元化された設定をサポートすることを推奨しています。Microsoft Entra ID 管理センターの自動ウィザードを使用して移行するか、移行ワークフローをカスタマイズして手動で移行することができます。

移行プロセスでは、現在の設定を監査し、従来の方式を最新の同等のものにマッピングし、グループベースのアクセスを設定し、サインインとパスワードリセットのメソッドパラメーターを更新します。移行後、新しい設定を検証し、レガシーポリシーの対応するメソッドを無効にします。これにより、冗長性が排除され、古いポリシーによる意図しないアクセスを防止できます。

インジケーターの詳細

名前: 認証方式の移行が完了していない

コード名: AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: