Entra ID のセキュリティのデフォルトを無効にする 2 つの方法
<本文>
このブログ投稿では、Microsoft Entra ID のセキュリティの既定値を無効にする方法を説明します。また、テナントのセキュリティのデフォルト ポリシーを無効にすることを検討する必要がある場合についても説明し、無効にした後にセキュリティを維持するためのベスト プラクティスについても説明します。
Microsoft によると、セキュリティのデフォルトにより、今日の環境で一般的なパスワード スプレー、リプレイ、フィッシングなどの ID 関連の攻撃から組織を保護することが容易になります。これらは、小規模から中規模のテナント、または詳細なポリシーを管理する能力のないテナントに最適です。
テナントが 2019 年 10 月 22 日以降に作成された場合は、テナントでセキュリティのデフォルトがすでに有効になっている可能性があります。 Microsoft は、ユーザー保護を確保するために、新しく作成されたすべてのテナントにセキュリティのデフォルトが自動的に適用されると発表しました。ただし、組織に複雑なセキュリティ要件がある場合は、それらを無効にして条件付きアクセスを使用することができます。
Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する
セキュリティのデフォルトとは何ですか?
簡単に言うと、セキュリティのデフォルトは、Entra ID のテナントの基本的な保護を確保するために Microsoft によって提供される事前構成されたセキュリティ設定です。これらのセキュリティ ベースラインには次のようなものがあります。
-
管理者に多要素認証 (MFA) を強制します。
-
一般的な ID 関連の攻撃から保護します。
-
ユーザーに MFA への登録を要求します。
-
攻撃に対して脆弱な従来の認証プロトコルをブロックします。
セキュリティのデフォルトを無効にするのはどのような場合ですか?
次の理由により、セキュリティのデフォルトを無効にすることが必要になる場合があります。
-
カスタム セキュリティ ポリシー: セキュリティのデフォルトでは、多くの組織が必要とするカスタマイズがサポートされていません。条件付きアクセス ポリシーは、より複雑な組織が必要とするあらゆるカスタマイズを提供します。
-
レガシー アプリケーションのサポート: 特定のレガシー アプリケーションでは、セキュリティのデフォルトによってブロックされている認証方法が必要になる場合があります。
-
柔軟性: テナント全体にセキュリティ対策を適用する方法をより細かく制御する必要があります。複雑なシナリオになると、条件付きアクセスがより良い選択肢であることは間違いありません。
-
サービス アカウントの除外: MFA に対するより適切な制御と適用性が必要な場合は、セキュリティのデフォルトを無効にする必要があります。
-
開発環境の場合: 開発活動に支障をきたす可能性のある頻繁な MFA プロンプトを回避するために、テスト環境でセキュリティのデフォルトを一時的に無効にすることができます。
前提条件
テナントのセキュリティのデフォルトを有効にする前に、次の前提条件が満たされていることを確認してください。
-
グローバル管理者または特権ロール管理者 (Entra ポータルの場合)。
-
PowerShell 経由で実行する場合、グラフベースのメソッドに対する適切なグラフ権限 (Policy.ReadWrite.SecurityDefaults)。
-
セキュリティのデフォルトを無効にする場合、プレミアム ライセンスは必要ありません。ただし、条件付きアクセスを使用するには、少なくとも Entra ID P1 が必要です。
-
少なくとも 1 つの緊急アクセス アカウントと、強力な監視された制御を備えた条件付きアクセスから除外された非常用アカウントを用意することをお勧めします。
注意: ここで重要な点を強調したいと思います。 Microsoft Entra ID に条件付きアクセス ポリシーを実装するなど、セキュリティの既定値を同等またはより強力なセキュリティ対策に置き換える準備ができている場合にのみ、セキュリティの既定値を無効にしてください。代替手段を直ちに実装する計画を立てずにこれを無効にすると、組織が一般的な攻撃に対して脆弱になるため、特別な必要がない限り有効にしておくことが推奨されます。
方法 1: Entra Admin Center を使用してセキュリティのデフォルトを無効にする
全体管理者アカウントを使用して Microsoft Entra Admin Center にサインインします。 Entra ID > 概要 > プロパティ に移動し、下部にある セキュリティのデフォルトの管理 をクリックします。 セキュリティのデフォルト のドロップダウンをクリックし、無効 を選択します。セキュリティのデフォルトを無効にする正当な理由を選択し、「保存」をクリックします。
Entra Admin Center を使用してセキュリティのデフォルトを無効にする
組織のセキュリティのデフォルトを無効にするかどうかを確認するメッセージが表示されるので、「無効」を選択します。
Entra Admin Center を使用してセキュリティのデフォルトを無効にする
Entra ポータルの右上隅に通知が表示され、「セキュリティのデフォルト ポリシーが正常に無効になりました」ということが確認されます。それでおしまい!!
Entra Admin Center を使用してセキュリティのデフォルトを無効にする
Microsoft Entra ポータルで、Entra ID > 概要 > プロパティに移動します。下にスクロールすると、「セキュリティのデフォルト」セクションに、「組織はセキュリティのデフォルトでは保護されていません」という警告メッセージが表示されます。これにより、テナントのセキュリティのデフォルトが正常に無効化されたことが確認されます。
組織はセキュリティのデフォルトでは保護されていません
方法 2: Microsoft Graph PowerShell を使用してセキュリティの既定値を無効にする
Microsoft Graph PowerShell は、テナントのセキュリティの既定値を無効にするために使用できるもう 1 つの便利な方法です。ただし、前提条件として PowerShell のグラフ モジュールをインストールする必要があります。ただし、心配する必要はありません。初心者向けに Microsoft Graph PowerShell モジュールのインストールに関するガイドを公開しましたので、従うことができます。
ステップ 1: グラフ モジュールをインストールする
まず、PowerShell を開いて次のコマンドを実行して、Graph モジュールをインストールします。
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
コピー
Install-Module
Microsoft.Graph
-
Scope CurrentUser
-
Repository PSGallery
-
Force
ステップ 2: Microsoft Graph に接続する
次に、以下のコマンドでグラフに接続します。
Connect-MgGraph -Scopes "Policy.ReadWrite.SecurityDefaults", "Policy.Read.All"
コピー
Connect-MgGraph
-
Scopes
"Policy.ReadWrite.SecurityDefaults"
,
"Policy.Read.All"
上記のコマンドを実行したら、職場の資格情報でサインインし、認証を完了する必要があります。認証が成功すると、Microsoft Graph コマンド ライン ツールにより、組織を代表して同意を与えるように求められます。必要なアプリ権限を注意深く確認し、「同意する」をクリックします。
Microsoft Graph PowerShell を使用してセキュリティの既定値を無効にする
ステップ 3: セキュリティのデフォルトを無効にする
MS Graph に接続したら、以下のコマンドを実行して、テナントのセキュリティのデフォルトを永続的に無効にします。
Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -IsEnabled:$false
コピー
Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy
-
IsEnabled:
$false
Microsoft Graph PowerShell を使用してセキュリティの既定値を無効にする
ステップ 4: セキュリティのデフォルトが無効になっているかどうかを確認する
最後に、セキュリティのデフォルトが無効になっているかどうかを確認するには、以下のコマンドを使用します。
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | fl Id,IsEnabled,DisplayName
コピー
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy
|
fl Id
,
IsEnabled
,
DisplayName
コマンド出力で IsEnabled=False の場合、セキュリティのデフォルトがオフになっていることを意味します。 IsEnabled=True の場合、セキュリティのデフォルトがアクティブであることを意味します。
PowerShell 経由でセキュリティのデフォルトが無効になっているかどうかを確認する
セキュリティのデフォルトを無効にした後のベスト プラクティス
ここで本題に入りましょう。テナントのセキュリティのデフォルトを無効にしたら、次は何をすればよいでしょうか?セキュリティのデフォルトを無効にするということは、テナントを保護しないままにしておく必要があることを意味すると思いますか?絶対に違います。セキュリティのデフォルトをオフにした後に従う必要があるベスト プラクティスをいくつか示しました。
-
条件付きアクセス ポリシーを実装します。これは非常に重要です。管理者がセキュリティのデフォルトを無効にしたら、組織は条件付きアクセス ポリシーを直ちに有効にして組織を保護する必要があります。
-
ユーザー アクティビティを監視する: サインイン ログと監査ログを定期的に確認して、不審なアクティビティがないか確認する必要があります。
-
すべてのユーザーに対して MFA を有効にする: セキュリティのデフォルトでは管理者に対して MFA が強制されますが、組織内のすべてのユーザーに対して MFA を要求することをお勧めします。 MFA プロンプトが条件付きアクセスによって引き続き強制されていることを確認します。管理者ロールには、すべてのサインインまたは機密性の高いアクションに対して MFA が必要であることを確認します。
結論
Microsoft Entra ID でセキュリティのデフォルトを無効にすると、組織のニーズに合わせたカスタム セキュリティ ポリシーを柔軟に実装できるようになります。ただし、これらのデフォルトをできるだけ早く適切な条件付きアクセス ポリシーに置き換えることが重要です。ベスト プラクティスに従い、条件付きアクセスなどのツールを活用することで、独自の要件に合わせて保護を調整しながら、強力なセキュリティ体制を維持できます。
Microsoft Entra ID でのセキュリティ設定の管理に関するご意見や経験を共有してください。
まだサポートが必要ですか?
上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。
フォーラム
電報
連絡してください
*️⃣ 出典リンク:
Microsoft 、テナント、
、
Entra ID P1 、
条件付きアクセス ポリシー Microsoft Entra ID 、
Microsoft Entra Admin Center 、Microsoft Graph PowerShell モジュールのインストール、
フォーラム
、 電報、
連絡してください
、