特権アカウントに MFA がない
High
Language:
説明
多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。 攻撃者が何らかの手法で特権ユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションからの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。
アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーターは警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーターは Microsoft Entra ID が MFA を実行しているかどうかを報告できません。
非特権アカウントについては、関連する IOE の [非特権アカウントに MFA がない] も参照してください。
ソリューション
報告されたすべての特権ユーザーは、MFA 方式を登録し、MFA を実行して パスワード攻撃に対する保護を強化する必要があります。
Microsoft Entra ID 向けには、Microsoft によって Require MFA for administrators と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このポリシーは、MFA の実行後、初めて認証する際に MFA 方式を登録するようユーザーに促します。条件付きアクセスのデプロイを計画するの Microsoft ドキュメントに従うことを推奨します。
Microsoft ドキュメントの「Microsoft Entra ID で緊急アクセス用アカウントを管理する」で推奨されているように、通常の管理アカウントとは異なる MFA 方法を使用する、特権付きの緊急アクセス用アカウント (Break Glass アカウント) を 1 つか 2 つ持つように計画してください。