Language:
多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。
攻撃者が何らかの手法でユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。
アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーターは警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーターは Microsoft Entra ID が MFA を実行しているかどうかを報告できません。
Entra ID の「認証方式アクティビティ」および 「MFA レポート」機能も使用できます。
特権アカウントについては、関連する IOE の「特権アカウントに MFA がない」も参照してください。
報告されたすべてのユーザーは、MFA 方式を登録し、MFA を実行して パスワード攻撃に対する保護を強化する必要があります。
Microsoft Entra ID 向けには、Microsoft によって Require MFA for all users と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このポリシーは、MFA の実行後、初めて認証する際に MFA 方式を登録するようユーザーに促します。条件付きアクセスのデプロイを計画するの Microsoft ドキュメントに従うことを推奨します。
Microsoft Entra 認証のドキュメントのこのセクションで、Microsoft Entra MFA の詳細をご覧ください (関連ページもチェックしてください)。