リスクのあるサインインで MFA を要求していない

HIGH

説明

多要素認証 (MFA) は、以前は 2 要素認証 (2FA) として知られており、弱いパスワードや侵害されたパスワードに関連する脆弱性に対する堅牢な保護をアカウントに提供します。ベストプラクティスや業界標準に従うため、Microsoft Entra ID 保護基準に基づいてリスクのあるユーザーサインインだと思われる場合は、認証をブロックするか、MFA を要求することをお勧めします。

攻撃者が何らかの手法でユーザーのパスワードを取得しても、MFA が、モバイルアプリケーションの期限付きコード、物理トークン、生体認証機能などの追加要素を要求することにより、認証をブロックします。

Microsoft Entra ID 保護 (Microsoft Entra ID P2 ライセンスが必要) は、Entra ID 内の危険なサインインを特定します。サインインリスクは、検出のリストに基づいて、特定の認証リクエストが許可された ID 所有者ではない可能性を表しています。サインインリスク検出には次の 3 つのレベルがあります。

このサインインリスクのレベルを使用して、条件付きアクセスポリシーと Microsoft Entra ID Protection の 2 つの保護機能を通して多要素認証 (MFA) をトリガーできます。質の高い診断データ、レポート専用モードとのシームレスな統合、Graph API のサポート、ポリシー内でサインイン頻度などの条件付きアクセス属性を追加で組み込めることなど、メリットのある追加機能もあるため、Tenable は条件付きアクセスポリシー (CAP) を使用して設定することを推奨しています。Microsoft Entra ID Protection で設定された従来のリスクポリシーは、2026 年 10 月 1 日に廃止される予定で、[条件付きアクセスポリシー]に移行する必要があります。そのため、この IoE は条件付きアクセスポリシーのみをチェックします。

この推奨事項に基づいて、この IoE は、少なくとも 1 つ (または個別に 2 つ) の条件付きアクセスポリシーが次の設定になっていることを確認します。

  • [ユーザー] が [すべてのユーザー] を含めるように設定されている。
  • [ターゲットリソース] が [すべてのリソース] に設定されている。
  • [[Conditions] (条件) > Client apps] (クライアントアプリ) が [いいえ] に設定されている。または、[はい] に設定され、[Browser] (ブラウザ)、[Mobile apps and desktop clients] (モバイルアプリおよびデスクトップクライアント)、[Exchange ActiveSync clients] (Exchange ActiveSync クライアント)、[Other clients] (その他のクライアント) の 4 つのオプションがすべて選択されている。
  • [[Conditions] (条件) > Sign-in risk] (サインインリスク) が [はい] に設定され、[高] と [中] の両方のリスクレベルが選択されている。または、2 つのポリシーを、片方は [高] リスクをターゲットにするポリシー、もう片方は [中] リスクをターゲットにするポリシーにそれぞれ設定しても、同じ効果を得ることができます。
  • [Grant] (付与) が [Require multifactor authentication] (多要素認証を必須にする) に設定されている、または [Require authentication strength] (認証強度が必要) が [Multifactor authentication] (多要素認証)、[Passwordless MFA] (パスワードレス MFA)、[Phishing-resistant MFA] (フィッシングに強い MFA) のいずれかの値に設定されている。
  • [Session] (セッション) > [Sign-in frequency] (サインイン頻度) が [毎回] に設定されている。
  • 最後に、[Enable policy] (ポリシーを有効にする) が [オン] に設定されている ([オフ] または [レポートのみ] ではない)。

ソリューション

テナントには、すべてのユーザーをカバーして、危険なサインイン状況では MFA を要求する、有効な条件付きアクセスポリシー (CAP) がなければなりません。

そのために、次の方法で CAP を作成できます。

  • この Microsoft ガイドで示されているように、[Conditions] (条件) > [Sign-in risk] (サインインリスク) を使用して、この露出インジケーター (IoE) の説明で指定されている設定を適用することにより、既存の CAP でこの条件を設定します。
  • 新しい CAP を作成し、IoE の説明で指定されているように設定します。
  • Microsoft の「Require multifactor authentication for risky sign-ins」(危険なサインインには多要素認証を要求する) テンプレートを使用して、専用の CAP を新規作成します。このテンプレートは、この露出インジケーター (IoE) が求めるすべての基準を満たしています。

注意: サインインリスクの条件付きアクセスポリシーが有効になっていると、Microsoft Entra 多要素認証 (MFA) をまだ登録していないユーザーに対しては、その時点で MFA 登録を提供することなく、危険な認証を自動的にブロックします。ユーザーをブロックしないようにするため、ユーザーが事前に MFA 登録が完了するようにしてください。また、関連する IoE [非特権アカウントに MFA がない] および [特権アカウントに MFA がない] も参照してください。

Microsoft Entra ID Protection でサインインリスクポリシーを直接設定できますが、Microsoft はこの機能をレガシーと見なし、2026 年 10 月 1 日に廃止する予定です。Microsoft は、既に管理者に対して[リスクポリシーを [条件付きアクセス] に移行]するよう促しています。したがって、Tenable は Microsoft Entra ID Protection のレガシーのリスクポリシーの使用を推奨せず、この IoE はそれを無視します。

注意: Microsoft と Tenable はどちらも、テナント全体のアカウントロックアウトや望まない副作用を防ぐために、条件付きアクセスポリシーから特定のアカウントを除外することを推奨しています。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことも推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-risk-based-sign-in#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。

インジケーターの詳細

名前: リスクのあるサインインで MFA を要求していない

コード名: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: