レガシー認証がブロックされていない

Microsoft は次のように報告しています。

[...]認証情報のスタッフィング攻撃の 97% 以上がレガシー認証を利用し、パスワードスプレー攻撃の 99% 以上がレガシー認証プロトコルを利用しています。

レガシー認証方法は、組織のセキュリティを強化するための標準要件である多要素認証 (MFA) のような最新のセキュリティ対策をサポートしていません。

この露出インジケーター (IoE) は、テナントが次の 2 つの方法のどちらかでレガシー認証リクエストを許可している場合にアラートを出します。

• セキュリティの既定値群: レガシー認証プロトコルのブロックを含む事前設定されたセキュリティ設定。この設定を同時に有効にすると、Microsoft が推奨しているように、複数のセキュリティ機能がアクティブ化されます。
• 条件付きアクセスポリシー (CAP): これらのポリシーは、レガシー認証プロトコルの使用を許可しないイベントやアプリケーションを指定します。特定のユーザーやアプリケーションに対してそのようなプロトコルを許可する場合もありますが、この許可はすべてのユーザーやアプリケーションには拡張されません。この IoE は、「レガシー認証をブロックする」CAP テンプレートの設定を定義している、有効な CAP が少なくとも 1 つ存在するかどうかをチェックします。

注意: この CAP 機能には Microsoft Entra ID P1 ライセンス以上が必要で、Microsoft Entra ID Free ライセンスには付属していません。これは、認証基準を正確に定義しようとする複雑なセキュリティニーズを持つ成熟した組織には特に推奨されています。

セキュリティの既定値群と条件付きアクセスは相互に排他的です。同時に使用することはできません。条件付きアクセスポリシーはビルトインの Entra ロールだけをターゲットできます。ただし、管理ユニット範囲にあるロールとカスタムロールは除きます。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「レガシー認証をブロックする」ことを推奨しています。

すべてのレガシー認証リクエストをブロックする前に、重要な考慮事項があります。Microsoft は、レガシー認証を必要とするメッセージングプロトコルを示すことで、その影響について説明しています。また、まだレガシー認証方法を使用するサインインを必要とするユーザーとサービスアカウントの除外設定を支援するために、レガシー認証の特定に関するガイダンスも提供します。 この IoE が修正後に準拠するようになっても、条件付きアクセスポリシーが有効になるまでに最大 24 時間かかる可能性があります​。その間、レガシー認証のリクエストはまだ可能です。

ユーザーとアプリケーションがレガシー認証を使用することを防ぐため、Microsoft はレガシー認証をブロックするという条件付きアクセスポリシー (CAP) テンプレートを提供しています。同じ設定を使用して独自のテンプレートを定義することもできます。そのような CAP を適用するために、Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことを推奨します。これにより、適切な計画と変更管理を確保し、まだレガシー認証を必要とするリソースへの影響を抑えることができます。 あるいは、セキュリティの既定値群を使ってこの目的を達成することもできます。そのためには、他の Microsoft が推奨するセキュリティ機能の中の、レガシー認証プロトコルのブロックを強制します。いずれかの変更が環境の悪化や意図しない副作用につながるかどうかを、事前に徹底的に評価してください。

名前: レガシー認証がブロックされていない

コード名: LEGACY-AUTHENTICATION-NOT-BLOCKED

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure