非特権アカウントに MFA がない

この IoE は、Microsoft によるデータ可用性の制限により、Microsoft Entra ID P1 または P2 ライセンスなしでは動作できません。そのため、Entra ID Free テナントでは結果を何も返しません。

多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します​。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。 攻撃者が何らかの手法でユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。

アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーター (IoE) は警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーター (IoE) は Microsoft Entra ID が MFA を実行しているかどうかを報告できません。

Entra ID の「認証方式アクティビティ」および 「MFA レポート」機能も使用できます。

特権アカウントについては、関連する IOE [特権アカウントに MFA がない] も参照してください。

攻撃者は無効化されているユーザーをすぐに悪用することはできないため、また無効化されているユーザーの MFA ステータスを誤って報告してしまうという Microsoft Graph API の制限もあるため、これらのユーザーは無視されます。

報告されたすべての特権のないユーザーは、パスワード攻撃に対する保護を強化するため、MFA 方式を登録し、MFA を強制​する必要があります。

Microsoft Entra ID 向けには、Microsoft によって Require MFA for all users と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このポリシーは、MFA の実行後、初めて認証する際に MFA 方式を登録するようユーザーに促します。条件付きアクセスのデプロイを計画するの Microsoft ドキュメントに従うことを推奨します。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-all-users-mfa-strength#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。

Microsoft Entra 認証のドキュメントのこのセクションで、Microsoft Entra MFA の詳細をご覧ください (関連ページもチェックしてください)。

名前: 非特権アカウントに MFA がない

コード名: MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure