検出

認証の必要がない管理対象デバイス

MEDIUM

Language:

説明

デフォルトでは、Microsoft Entra ID は任意のデバイスからの認証を許可しています。これにより、デバイスが侵害されている、非準拠である、攻撃者によって制御されている場合は特に不正アクセスや侵害につながる可能性があります。

ゼロトラストモデルでは、認証はデバイスのステータスに応じて行い、組織のセキュリティポリシーに準拠しかつ組織が管理するデバイスからしかアクセスを許可しません。

BOD 25-01 により強制される、CISA 「Microsoft Entra ID の M365 セキュア設定ベースライン」の MS.AAD.3.7v1 ポリシーでは、「認証に管理対象デバイスを必須とする」ことが要求されます。CISA ガイダンスに従う場合、この IoE は、少なくとも 1 つの条件付きアクセスポリシーに次の設定が含まれていることを確認します。

Microsoft の推奨事項に従う場合、この IoE は、少なくとも 1 つの条件付きアクセスポリシーに同じ設定が含まれ、さらに [多要素認証を必須にする] が追加されていることを確認します。つまり、

ソリューション

管理されていないデバイスからの認証をテナントでブロックするには、有効な条件付きアクセスポリシー (CAP) が必要です。

CISA と Microsoft では、このリスクを防ぐ方法ついて意見が異なっています。

  • BOD 25-01 により強制される、CISA の「Microsoft Entra ID の M365 セキュア設定ベースライン」での MS.AAD.3.7v1 ポリシーは、準拠デバイスまたはハイブリッド参加デバイスのみを受け入れます。
  • 一方、Microsoft は多要素認証も受け入れます

Tenable では、最も安全なアプローチとして CISA ガイダンスに従うことを推奨します。しかし同時に、最も制限の厳しい設定でもあるため、IoE で提供されているオプションを使用して、簡単に Microsoft の推奨事項に切り替えることができます。

これを行うには、次のように CAP を作成します。

  • この IoE の説明で指定された設定を適用して、既存の CAP を変更する。
  • 専用の CAP を作成し、IoE の説明にある仕様に従って設定する。

Microsoft の推奨事項に従う場合は、すべてのユーザーに対して準拠デバイス、Microsoft Entra ハイブリッド参加済みデバイス、または多要素認証を要求する の CAP テンプレートを使用できます。このテンプレートは、Microsoft の推奨オプションを有効にした場合の IoE の基準をすべて満たしています。また、準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスを管理者に要求するテンプレートはそれほど限定的ではなく、管理者のみを対象としていますが、どの IoE 基準も満たしていません。

注意: デバイスは準拠としてマーク済みである必要があるのコントロール付与では、組織が Intune MDM を使用している必要があります。

注意: Microsoft と Tenable はどちらも、テナント全体のアカウントロックアウトや望まない副作用を防ぐために、条件付きアクセスポリシーから特定のアカウントを除外することを推奨しています。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことも推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、このポリシーに準拠できないため、ポリシーからサービスアカウントを除外する必要があります。[ユーザーを除外] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。

インジケーターの詳細

名前: 認証の必要がない管理対象デバイス

コード名: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: