Language:
デバイスの管理状態や準拠状態に関係なく、任意のデバイスからの多要素認証 (MFA) 登録を許可すると、深刻なセキュリティリスクが生じます。攻撃者がユーザーの認証情報を侵害した場合、管理されていないデバイスから独自の MFA 要素を登録できる可能性があります。これにより、MFA の保護が迂回され、攻撃者が 2 番目の認証要素を制御できるようになり、機密リソースへの不正アクセスが可能になり、アカウントが完全に乗っ取られる可能性があります。
ゼロトラストモデルでは、MFA 登録のような重大なアクションは、信頼されていて準拠しているデバイスからのみ許可しています。MFA 登録を管理対象デバイスに限定することで、この重要なセキュリティ機能を有効にするデバイスが組織の基準に適合したものとなります。これにより、認証情報を盗んだ攻撃者が悪質な MFA を登録するリスクが大幅に低減されます。
BOD 25-01 により強制される、CISA 「Microsoft Entra ID の M365 セキュア設定ベースライン」の MS.AAD.3.8v1 ポリシーでは、「管理対象デバイスの MFA 登録を必須とするべきである」と具体的に要求しています。
CISA のガイダンスに従って、この露出インジケーター (IoE) は、少なくとも 1 つの条件付きアクセスポリシーが有効になっており、次の設定により、管理対象デバイスだけに MFA 登録が許可されていることを確認します。
管理されていないデバイスからの多要素認証 (MFA) 登録をテナントでブロックするには、有効化された条件付きアクセスポリシー (CAP) がなければなりません。
このリスクを軽減するため、BOD 25-01 により強制される CISA ( 「Microsoft Entra ID の M365 セキュア設定ベースライン」の MS.AAD.3.8v1 ポリシー) は、管理対象デバイスを、準拠したデバイスかハイブリッド参加済みのデバイスのどちらかに定義しています。
これを行うには、次のように CAP を作成します。
注意: [Require device to be marked as compliant] (デバイスは準拠としてマーク済みであることを必須とする) 許可コントロールでは、所属組織が Intune MDM を使用していることを条件としています。
注意: Microsoft と Tenable はどちらも、テナント全体のアカウントロックアウトや望まない副作用を防ぐために、条件付きアクセスポリシーから特定のアカウントを除外することを推奨しています。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことも推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、このポリシーに準拠できないため、ポリシーからサービスアカウントを除外する必要があります。[ユーザーを除外] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。
名前: 管理対象デバイスの MFA 登録が必須ではない
コード名: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION
深刻度: Medium
タイプ: Microsoft Entra ID Indicator of Exposure