Language:
多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。 攻撃者が何らかの手法で特権ユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションからの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。
アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーターは警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーターは Microsoft Entra ID が MFA を実行しているかどうかを報告できません。
Entra ID の「認証方式アクティビティ」および 「MFA レポート」機能も使用できます。
非特権アカウントについては、関連する IOE の「非特権アカウントに MFA がない」も参照してください。
報告されたすべての特権ユーザーは、MFA 方式を登録し、MFA を実行して パスワード攻撃に対する保護を強化する必要があります。
Microsoft Entra ID 向けには、Microsoft によって Require MFA for administrators と呼ばれる条件付きアクセスポリシーのテンプレートが提供されています。このポリシーは、MFA の実行後、初めて認証する際に MFA 方式を登録するようユーザーに促します。条件付きアクセスのデプロイを計画するの Microsoft ドキュメントに従うことを推奨します。
Microsoft ドキュメントの「Microsoft Entra ID で緊急アクセス用アカウントを管理する」で推奨されているように、通常の管理アカウントとは異なる MFA 方法を使用する、特権付きの緊急アクセス用アカウント (Break Glass アカウント) を 1 つか 2 つ持つように計画してください。
Microsoft Entra 認証のドキュメントのこのセクションで、Microsoft Entra MFA の詳細をご覧ください (関連ページもチェックしてください)。