Language:
多要素認証 (MFA) は、以前は 2 要素認証 (2FA) として知られており、弱いパスワードや侵害されたパスワードに関連する脆弱性に対する堅牢な保護をアカウントに提供します。ベストプラクティスや業界標準に従うため、Microsoft Entra ID 保護基準に基づいてリスクのあるユーザーサインインだと思われる場合は、認証をブロックするか、MFA を要求することをお勧めします。
攻撃者が何らかの手法でユーザーのパスワードを取得しても、MFA が、モバイルアプリケーションの期限付きコード、物理トークン、生体認証機能などの追加要素を要求することにより、認証をブロックします。
Microsoft Entra ID 保護 (Microsoft Entra ID P2 ライセンスが必要) は、Entra ID 内の危険なサインインを特定します。サインインリスクは、検出のリストに基づいて、特定の認証リクエストが許可された ID 所有者ではない可能性を表しています。サインインリスク検出には次の 3 つのレベルがあります。
このサインインリスクのレベルを使用して、条件付きアクセスポリシーと Microsoft Entra ID Protection の 2 つの保護機能を通して多要素認証 (MFA) をトリガーできます。質の高い診断データ、レポート専用モードとのシームレスな統合、Graph API のサポート、ポリシー内でサインイン頻度などの条件付きアクセス属性を追加で組み込めることなど、メリットのある追加機能もあるため、Tenable は条件付きアクセスポリシー (CAP) を使用して設定することを推奨しています。Microsoft Entra ID Protection で設定された従来のリスクポリシーは、2026 年 10 月 1 日に廃止される予定で、[条件付きアクセスポリシー]に移行する必要があります。そのため、この IoE は条件付きアクセスポリシーのみをチェックします。
この推奨事項に基づいて、この IoE は、少なくとも 1 つ (または個別に 2 つ) の条件付きアクセスポリシーが次の設定になっていることを確認します。
テナントには、すべてのユーザーをカバーして、危険なサインイン状況では MFA を要求する、有効な条件付きアクセスポリシー (CAP) がなければなりません。
そのために、次の方法で CAP を作成できます。
注意: サインインリスクの条件付きアクセスポリシーが有効になっていると、Microsoft Entra 多要素認証 (MFA) をまだ登録していないユーザーに対しては、その時点で MFA 登録を提供することなく、危険な認証を自動的にブロックします。ユーザーをブロックしないようにするため、ユーザーが事前に MFA 登録が完了するようにしてください。また、関連する IoE [非特権アカウントに MFA がない] および [特権アカウントに MFA がない] も参照してください。
Microsoft Entra ID Protection でサインインリスクポリシーを直接設定できますが、Microsoft はこの機能をレガシーと見なし、2026 年 10 月 1 日に廃止する予定です。Microsoft は、既に管理者に対して[リスクポリシーを [条件付きアクセス] に移行]するよう促しています。したがって、Tenable は Microsoft Entra ID Protection のレガシーのリスクポリシーの使用を推奨せず、この IoE はそれを無視します。
注意: Microsoft と Tenable はどちらも、テナント全体のアカウントロックアウトや望まない副作用を防ぐために、条件付きアクセスポリシーから特定のアカウントを除外することを推奨しています。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことも推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-risk-based-sign-in#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。
名前: リスクのあるサインインで MFA を要求していない
コード名: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS
深刻度: High
タイプ: Microsoft Entra ID Indicator of Exposure