強制措置が適用されていない、リスクのあるユーザー

MEDIUM

説明

Microsoft Entra ID 保護 (旧 Identity Protection) は、Entra ID の危険なユーザーを特定します。使用するには、Microsoft Entra ID P2 ライセンスが必要です。Microsoft のリスク検出に関するドキュメントで説明されているように、リスク検出は次の 2 種類があります。

  • サインインリスク検出 (IoE の [リスクのあるサインインで MFA を要求していない] で説明)
  • ユーザーリスク検出

ユーザーは次のような場合にリスクがあると見なされます。

リスクレベルは次の 3 つです。

条件付きアクセスポリシーを使用して、システムがリスクのあるユーザーを特定した時にセキュリティ対策が施行されるようにしてください。 BOD 25-01 により強制される、CISA 「Microsoft Entra ID の M365 セキュア設定ベースライン」の MS.AAD.2.1v1 ポリシーでは、「高リスクとして検出されたユーザーはブロックされる」ことが求められます。CISA ガイダンスに従う場合、この IoE は、少なくとも 1 つの条件付きアクセスポリシーに次の設定が含まれていることを確認します。

  • ユーザーは [すべてのユーザー] を含めるように設定されている。
  • ターゲットリソースは [すべてのリソース] に設定されている。
  • [条件] > [ユーザーリスク] で [はい] を設定し、リスクレベル [高] を選択する。
  • 付与 が [アクセスのブロック] に設定されている。
  • [ポリシーを有効にする] が [オン] に設定されている ([オフ] または [レポートのみ] ではない)。

代わりに、Microsoft の推奨事項に従う場合、この IoE は、少なくとも 1 つの条件付きアクセスポリシーに次の設定が含まれていることを確認します。

  • [ユーザー] は [すべてのユーザー] を含めるように設定されている。
  • [ターゲットリソース] は [すべてのリソース] に設定されている。
  • [[Conditions] (条件) > User risk] (ユーザーリスク) を [はい] に設定し、リスクレベル [高] を選択する。
  • [Grant] (付与) が [Require password change] (パスワードの変更を必須にする) に設定されている。
  • [Enable policy] (ポリシーを有効にする) が [オン] に設定されている ([オフ] または [レポートのみ] ではない)。

ソリューション

テナントをすべての高リスクユーザーから保護するためには、テナントに対して有効な条件付きアクセスポリシー (CAP) が設定されている必要があります。

Tenable では、ビジネスの中断を最小限に抑えるため、リスクレベルが [高] のユーザーのみをブロックすることを推奨しています。 CISA と Microsoft は、このリスクの防止方法について意見が異なっています。

  • BOD 25-01 により強制される、CISA の「Microsoft Entra ID の M365 セキュア設定ベースライン」での MS.AAD.2.1v1 ポリシーでは、リスクのあるユーザーを全体的にブロックすることを推奨しています。
  • 一方、Microsoft は、パスワード変更を要求することで、自己修復をトリガーすることを推奨しています。

Tenable では、CISA ガイダンスに従うことを推奨します。これが最も安全なアプローチだからです。しかし同時に、最も制限の厳しい設定でもあるため、IoE で提供されているオプションを使用して、簡単に Microsoft の推奨事項に切り替えることができます。

そうするために、次の方法で CAP を作成できます。

  • この IoE の説明で指定された設定を適用して、既存の CAP を変更する。
  • 専用の CAP を作成し、IoE の説明にある仕様に従って設定する。

CISA ガイダンスではなく Microsoft の推奨事項に従う場合は、Microsoft の「Require password change for high-risk users」(高リスクユーザーにパスワード変更を要求する) CAP テンプレートも使用できます。Microsoft の推奨設定を有効にした場合、このテンプレートは、この IoE で概説されているすべての基準を満たしています。

注意: Microsoft と Tenable はどちらも、テナント全体のアカウントロックアウトや望まない副作用を防ぐために、条件付きアクセスポリシーから特定のアカウントを除外することを推奨しています。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことも推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-risk-based-user#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。

CAP の設定は侵害を防ぐために不可欠ですが、報告されたリスクに対するフォレンジック調査はされません。詳細については、Microsoft 提供の調査ガイドをご覧ください。

インジケーターの詳細

名前: 強制措置が適用されていない、リスクのあるユーザー

コード名: RISKY-USERS-WITHOUT-ENFORCEMENT

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: