特権ロールで MFA が要求されない

HIGH

説明

多要素認証 (MFA) は、以前は 2 要素認証 (2FA) として知られており、弱いパスワードや侵害されたパスワードに関連する脆弱性に対する堅牢な保護をアカウントに提供します。ベストプラクティスや業界標準に従って、特に攻撃者の主要な標的となり、侵害されると重大な結果をもたらす可能性がある特権アカウントに対して MFA を有効にすることをお勧めします。

攻撃者が何らかの手段でユーザーのパスワードを取得しても、MFA が、モバイルアプリケーションの一時コード、物理トークン、生体認証機能などの追加要素を要求することにより、認証をブロックします。

特権ロールで MFA が要求されておらず、その特定の特権ロールを付与された特権ユーザーに影響を与えている場合、この露出インジケーター (IoE) がアラートを出します。 Microsoft Entra ID では、次のようなさまざまな方法で MFA を有効にできます。

  • セキュリティ既定値群: 管理者に対して多要素認証の使用を必須とすることなど、事前設定されたセキュリティ設定。この設定を有効にすると、Microsoft が推奨している複数のセキュリティ機能が同時にアクティブ化されます。

  • 条件付きアクセス: ポリシーによって、MFA を必要とするイベントやアプリケーションを指定します。これらのポリシーにより、管理者は通常の MFA サインインを行えます。注意: この機能には Microsoft Entra ID P1 ライセンス以上が必要で、Microsoft Entra ID Free ライセンスにはありません。これは、認証基準を正確に定義しようとする複雑なセキュリティニーズを持つ成熟した組織には特に推奨されています。この露出インジケーター (IoE) は、次の設定を持つ条件付きアクセスポリシーを探します。

    • [ユーザー] は [すべてのユーザー] または特権ロールを含めるように設定されている。
    • [ターゲットリソース] は [すべてのリソース] に設定されている。
    • [[Conditions] (条件) > Client apps] (クライアントアプリ) が [いいえ] ([未設定]) に設定されている。または、[はい] に設定され、[Browser] (ブラウザ)、[Mobile apps and desktop clients] (モバイルアプリおよびデスクトップクライアント)、[Exchange ActiveSync clients] (Exchange ActiveSync クライアント)、[Other clients] (その他のクライアント) の 4 つのオプションすべてが選択されている。
    • [Grant] (付与) が [Require multifactor authentication] (多要素認証を必須とする) に設定されているか、[Require authentication strength] (認証強度を要求する) が [Multifactor authentication] (多要素認証)、[Passwordless MFA] (パスワードレス MFA)、[Phishing-resistant MFA] (フィッシングに強い MFA) のいずれかに設定されている。
    • 最後に、[Enable policy] (ポリシーを有効にする) が [オン] に設定されている ([オフ] または [Report-only] (レポートのみ) ではない)。
  • ユーザーごとの MFA: ユーザーごとの MFA はレガシーサービスで、Microsoft はこれをより新しいセキュリティ既定値群か条件付きアクセスポリシーに置き換えるように勧めています。ただしこの露出インジケーター (IoE) は、Microsoft Graph API をサポートしていないため、特権ロールを持つユーザーがレガシーのユーザーごとの MFA を使用しているかどうかを判断できません。

セキュリティの既定値群と条件付きアクセスは相互に排他的です。同時に使用することはできません。条件付きアクセスポリシーはビルトインの Entra ロールだけを対象 にできます。ただし、管理ユニット範囲にあるロールとカスタムロールは除きます。

ソリューション

報告されたすべての特権 Entra ロールは、割り当てられているユーザーの認証情報攻撃に対する保護を強化するため、MFA を要求​しなければなりません。

Microsoft Entra ID 向けには、Microsoft によって Require MFA for administrators と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このテンプレートは、この露出インジケーター (IoE) が求めるすべての基準を満たしています。このポリシーは、MFA の適用後、初回認証時に MFA 方式を登録するようユーザーを促します。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことを推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-old-require-mfa-admin#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。

あるいは、セキュリティ既定値群を使って管理者に対して多要素認証を強制することによって、この目的を達成することもできます。これにより、Microsoft が推奨する他のさまざまなセキュリティ機能もアクティブ化されます。これらのうちいずれかの変更が環境の悪化や意図しない副作用につながるかどうかを、事前に徹底的に評価してください。

インジケーターの詳細

名前: 特権ロールで MFA が要求されない

コード名: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: