検出

特権アカウントに MFA がない

HIGH

Language:

説明

この IoE は、Microsoft によるデータ可用性の制限により、Microsoft Entra ID P1 または P2 ライセンスなしでは動作できません。そのため、Entra ID Free テナントでは結果を何も返しません。

多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します​。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。 攻撃者が何らかの手法で特権ユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションからの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。

アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーター (IoE) は警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーター (IoE) は Microsoft Entra ID が MFA を実行しているかどうかを報告できません。

Entra ID の「認証方式アクティビティ」および 「MFA レポート」機能も使用できます。

非特権アカウントについては、関連する IOE [非特権アカウントに MFA がない] も参照してください。

攻撃者は無効化されているユーザーをすぐに悪用することはできないため、また無効化されているユーザーの MFA ステータスを誤って報告してしまうという Microsoft Graph API の制限もあるため、これらのユーザーは無視されます。

ソリューション

報告されたすべての特権ユーザーは、パスワード攻撃に対する保護を強化するため、MFA 方式を登録し、MFA を強制​しなければなりません。これは、Microsoft の「Microsoft Entra ロールのベストプラクティス」で次のように推奨されています:「3. すべての管理者アカウントに対して多要素認証を有効にする。私たちの研究によると、多要素認証 (MFA) を使用した場合、アカウントが侵害されるリスクは 99.9% 低下します。」

Microsoft Entra ID 向けには、Microsoft によって Require MFA for administrators と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このポリシーは、MFA の実行後、初めて認証する際に MFA 方式を登録するようユーザーに促します。条件付きアクセスのデプロイを計画するの Microsoft ドキュメントに従うことを推奨します。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-old-require-mfa-admin#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。

Microsoft ドキュメントの「Microsoft Entra ID で緊急アクセス用アカウントを管理する」で推奨されているように、通常の管理アカウントとは異なる MFA 方法を使用する、特権付きの緊急アクセス用アカウント (Break Glass アカウント) を 1 つか 2 つ持つように計画してください。

Microsoft Entra 認証のドキュメントのこのセクションで、Microsoft Entra MFA の詳細をご覧ください (関連ページもチェックしてください)。

インジケーターの詳細

名前: 特権アカウントに MFA がない

コード名: MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: