条件付きアクセスポリシーにより継続的なアクセス評価が無効になっている

ユーザーが Microsoft Entra ID を介してアプリケーションまたは API に認証されると、有効期限が設定されたアクセストークンを受け取ります。ただし、このトークンの期限が切れると、ユーザーは Entra ID に再度連絡してトークンを更新する必要があります。Entra ID が更新を拒否してアクセスを遮断するチャンスがあるのは、この時だけです。ユーザーのセキュリティポスチャーの変更 (承認されていないネットワークや危険な IP アドレスへの切り替え、高リスクアクティビティの検出など) や、無効化されたアカウントなどのステータスの変更によって、拒否する場合があります。このような重大なイベントでは、ほぼリアルタイムの対応が必要になりますが、更新時までアクセストークンの無効化をトリガーできないことが問題になります。

この問題に対処するために、Microsoft は 継続的アクセス評価 (CAE) セキュリティ機能を実装し、このギャップを解消しています。

CAE はデフォルトで有効になっていますが、条件付きアクセスポリシーで無効にすることができます。Tenable はこのセキュリティ機能を無効にすることにはリスクがあると見なしているため、CAE を無効にする条件付きアクセスポリシーがあればその検出結果にフラグを立てます。

Tenable と Microsoft は、CAE を無効にする正当な理由を文書化していません。したがって、CAE を無効にする条件付きアクセスポリシーが意図的であったか、または別の問題に対処するために誤って引き起こされたかを調査することが不可欠です。

正当な理由があるなら、Tenable は条件付きアクセスポリシーの代入セクションを使用してその範囲を減らすことを推奨しています。これには、ポリシーを「すべてのユーザー」に適用するのではなく、特定の問題のあるユーザーまたはグループのみを含めるまたは除外することが含まれます。

正当な理由がなく、特に誰にも適用されていない場合、Tenable は条件付きアクセスポリシーを無効にするか削除することを推奨しています。

名前: 条件付きアクセスポリシーにより継続的なアクセス評価が無効になっている

コード名: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure