一時アクセスパス機能が有効

LOW

説明

一時アクセスパス (TAP) は一時的な認証方法として機能し、パスワードや MFA などの標準の Microsoft Entra 認証に代わる手段となります。従業員のオンボーディング、パスワード損失、ヘルプデスクのリセットなどのケース、またはパスワードレス (例: Microsoft Authenticator、Windows Hello for Business、FIDO2 セキュリティキー) などの他の認証方法を実装するためのブートストラップとして設計されているため、TAP は期限付きまたは 1 回のみ使用可能なパスコードを導入します。[認証方法] コンソールで (Azure ポータルまたは Microsoft Entra 管理センターを介して) 設定した TAP ポリシーに応じて、ユーザーは TAP の有効期間中はずっとこのパスコードを利用できます。このポリシーは、すべてのユーザーに適用することも、特定のグループに選択的に適用することもできます。ポリシーが有効化されると、必要なアクセス許可を持つ特権ユーザーは [認証方法] コンソールで TAP を生成できるようになります。主な考慮事項は次のとおりです。

  • TAP は、強力な認証方法と見なされているため、MFA をバイパスします​。
  • TAP は、昇格された権限を持つ悪意のある者が悪用すると、セキュリティリスクをもたらす可能性があります。このようなシナリオでは、攻撃者はパスワードを知らなくても、パスワードをリセットせずにアカウントにアクセスする​ことができます。これにより、ステルス性がさらに高くなります。TAP はユーザーのパスワードを置き換えない​ことに注意してください。そのため、標的にされたユーザーは、バックドア TAP が設定されていても、通常のパスワードや他の認証方法を使用してサインインできます。

組織で TAP を使用する場合は、新入社員やデバイスのオンボーディングだけに使用するようにしてください。その結果、TAP によるログインが頻繁に発生しないため、注意深く監督することができます。

この正当な機能は意図的に有効にすることができ、現在テナント内でアクティブになっています。このようなインスタンスでは、アタックサーフェスの拡大に留意しながらも、オプションで例外としてテナントを追加することができます。逆に、この機能が使用されていない場合は、無効にして潜在的なアタックサーフェスを最小限に抑えることをお勧めします。

ソリューション

この機能を使用して、Microsoft が推奨しているパスワードレス認証方法をブートストラップできます。組織がこの目的のために TAP を使用している場合は、この露出インジケーター (IoE) の除外リストにテナント ID を追加する必要があります。アタックサーフェスをさらに減らすため、一時アクセスパス生成の対象となるユーザーまたはグループの範囲を狭めることを検討してください。これは、デフォルト設定 [すべてのユーザー] を、より制限されたサブセットに変更することでできます。

ただし、組織が現在 TAP を使用していない場合、次の手順を使用して無効にする方が安全です。

  • 「Microsoft Entra 管理センター」にサインインします。
  • [保護] > [認証方法] > [ポリシー] に移動します。
  • 利用可能な認証方法のリストから、[一時アクセスパス] を選択します。
  • [有効] トグルを [オフ] に切り替え、この機能を無効にします。

インジケーターの詳細

名前: 一時アクセスパス機能が有効

コード名: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: