非特権アカウントに MFA がない
Medium
Language:
説明
多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。
攻撃者が何らかの手法でユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。
アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーターは警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーターは Microsoft Entra ID が MFA を実行しているかどうかを報告できません。
特権アカウントについては、関連する IOE の [特権アカウントに MFA がない] も参照してください。
ソリューション
報告されたすべてのユーザーは、MFA 方式を登録し、MFA を実行して パスワード攻撃に対する保護を強化する必要があります。
Microsoft Entra ID 向けには、Microsoft によって Require MFA for all users と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このポリシーは、MFA の実行後、初めて認証する際に MFA 方式を登録するようユーザーに促します。条件付きアクセスのデプロイを計画するの Microsoft ドキュメントに従うことを推奨します。