天国のために、すでにMFAをオンにするだけです

天国のために、すでにMFAをオンにするだけです

それはいくつかの本当の話のための時間です:私たちの十分な多要素認証を使用していません。例えば、Twitterは MFA を有効にしているユーザーの約 2% のみ 彼らのTwitterアカウントのために- これはひどいですが、少なくとも彼らは彼らの使用状況データをリリースします。

私は他の消費者サービスに対する取り込みも同様に低いと予想していますが、結局のところ、ほとんどの消費者はセキュリティの専門家ではありません – しかし、私たちは本当に期待し、より良い要求する必要があります エンタープライズ アカウント。しかし、むしろ ショッキング サイバー攻撃 MFAの欠如に関連するアカウントの妥協に公に起因している:2020年に、マイクロソフトのアレックス・ワイナートは、次の マイクロソフト 365 アカウントの攻撃に成功した 99.9% は MFA が無効にされていました.

セキュリティベンダーYubicoは、どのような企業についてのいくつかの興味深い読書のために作るレポートを発表しました 言う 彼らはやるつもりです (ヒント: 特に Yubico のトークンに対して、より多くのお金を使うことになります)、今実行される平凡な計画は、後で実行されるすばらしい計画よりも優れています。

開始する 2 つの方法

マイクロソフトは、Azure AD の多要素認証の機能と回復性を向上させるために、多くの作業を行っています。あります 4つの方法 マイクロソフト 365 の不動産で MFA を利用することができます。

まず、あなた 個々のアカウントに対して手動で、選択的に有効にするだけです。こうしないでください。概念的には簡単ですが、アカウントを除外するのはあまりにも簡単で、ユーザーが出入りするにつれて、将来的には継続的なメンテナンスが必要になります。これは悪い提案なので、私は正式に始める方法としてそれを数えません。

2 番目に、Microsoft 365 ビジネス、E3、または E5 を使用している場合、MFA はすべてのユーザーに対してオンになるか、すべてのユーザーに対してオフになります。だから私はそれが始める第二の方法だと思いますが、おそらくあなたが考えていたものではありません。

最初の 本当の 始める方法は、 “セキュリティの既定値“マイクロソフトが 2019 年に導入した機能。その後にテナントが作成された場合は、良いニュース:これはすでにあなたのために有効であり、おそらく何もする必要はありません。リンクされていない場合は、リンク先の記事で説明しているように、簡単に設定できます。マイクロソフトは、「セキュリティ体制を強化したいが、どこから始めればいいのか分からない組織の場合は、セキュリティのデフォルトが適しています」と述べています。私はここでそれをさらにカバーしないことをこれを行うのに十分簡単です。

始める本当の方法は、 Azure AD 条件付きアクセス (CA)。これはセキュリティの既定値よりもはるかに複雑で、Azure AD Premium P1 または P2 ライセンスが必要ですが、柔軟性と制御性が大幅に向上します。

続きを読む: Azure AD でのパスワードなし認証の実現

条件付きアクセスの基本

CA ポリシーの背後にある考え方は簡単です: ユーザーまたはデバイスが Microsoft 365 のリソースへのアクセスを要求するたびに、彼らが話しているエンドポイントは、認証トークンを見ることを期待します。トークンがない場合、またはトークンが期限切れまたは無効である場合、エンドポイントはクライアントに認証を強制します。

最も単純なシナリオでは、ユーザーがログオン ダイアログを表示し、資格情報を入力し、Azure AD がチェックしてトークンを発行する場合は、その資格情報が有効であることを意味します。CA は、条件と例外を追加することでこのプロセスを拡張します。たとえば、「信頼していない場所から Azure 管理ポータルにユーザーがサインインしている場合は、MFA を要求する」または「企業ネットワーク内から Teams にサインインするユーザーに対して MFA を必要としない」というルールを作成できます。

条件付きアクセスは非常に有能で柔軟です。たとえば、他のクライアントからのアクセスに影響を与えることなく、Android と iOS の古いバージョンをブロックするポリシーを簡単に作成できます (ゼロデイ脆弱性が明るみに出ているレートを考えると、おそらく良いアイデアです)。

CA ポリシーを管理するには、Azure ポータルにログインする必要があります( Azure アクティブ ディレクトリ > 安全 > 条件付きアクセス) または、 マイクロソフト エンドポイント マネージャー ポータル (エンドポイントセキュリティ > 条件付きアクセス).ポリシーには多くの操作が可能ですが、ポリシーを要求する簡単なポリシーに焦点を当てます。ユーザーの MFA を使用します。

MFA ポリシーの作成

ポリシーを作成する基本は非常に簡単です。問題が発生する可能性があるのは、Azure AD CA ポリシーがサポートする多くの選択肢から、適切なオプションの組み合わせを選択することです。私はいつも、単純なテンプレートを使用して、ポリシーが何をすべきかの記述言語の説明から始めることを提案したいと思います:

このポリシーは [allow or deny] アクセス [which users] 使用する場合 [which applications?] しかし、唯一の場合 [conditions]

この場合、"このポリシーは、すべてのアプリケーションですべての '実際の’ ユーザーにアクセスを許可しますが、その場合は MFA で認証されます。テンプレートアプローチを使用すると、目的の最終的な結果がわかりますが、そのサンプルでは明らかに「このポリシーは、グローバル管理者のアクセスをブロックしますが、平壌から接続している場合にのみアクセスをブロックする」というテンプレートとは異なるポリシー設定が必要になります。

基本から始めます。

  1. ログインする https://portal.azure.com グローバル管理者を持つアカウントを使用して、次に移動します。 Azure アクティブ ディレクトリ > 安全 > 条件付きアクセス.
  2. クリック + 新しいポリシー.
  3. あなたのポリシーに名前を付け、理想的には、今から1年後にそれを見たときにあなたに意味をなすもので、「私は何を作成したのか疑問に思う それ のために?

誰がポリシーを取得しますか?

次に、このポリシーの影響を受けるユーザーを決定する必要があります。ザ ユーザーとグループ 左側のナビゲーション バーのコントロールを使用すると、ユーザーを含めるか除外するかを選択できます。この包含または除外を複数のカテゴリに適用することができます: 誰も、すべてのユーザー、または選択したユーザー、選択したユーザーは、ゲストの状態、保持するディレクトリロール、または指定したグループメンバーシップに基づいて選択されます。これらのコントロールを使用して解決できる問題の例を次に示します。

  • すべてのゲストユーザーを含む
  • “Sales" セキュリティ グループのユーザーを除くすべてのユーザーを含める
  • “Azure DevOps 管理者" ロールを持つユーザーを除くすべてのユーザーを除外する

ほとんどの管理者は、これらのコントロールを組み合わせてきめ細かなポリシーを作成したいと思うでしょう。あなたは確かにこれを行うことができますが、それは常に簡単に始める方が良い考えです。この場合、"実際のユーザー" には MFA を要求します。

Azure AD には実際のアカウントとサービス アカウントを分離する方法がないため、これは聞こえるよりも少し難しいです。あなたは彼ら自身のグループにそれらを置く必要があります。小さなテナントでは、サービス アカウントが 2 つしかないので、[除外]タブで個別に選択しました。表示されていない[含める]タブには、自分で作成した “すべての会社" グループがあります。結果は次のようになります。

天国のために、すでにMFAをオンにするだけです

どのアプリに適用されますか?

特定のアプリが他のアプリよりも機密性が高い、または重要であると判断する場合があります。逆に、一部のワークロードでは MFA での認証が必要になる場合があります。

クラウドアプリまたはアクション では、テンプレートの 「使用時」 句を入力できます。ユーザーの選択と同様に、すべてのアプリを含めたり除外したり、個別に選択したりできます。特定のアプリを含めるか除外するかを選択した場合、アプリリストには Azure AD テナントに登録されているすべてのアプリが含まれているので、Microsoft 365 アプリだけでなく、サードパーティ製アプリや独自の基幹業務アプリに CA ポリシーを適用できます。このサンプル ポリシーでは、"すべてのクラウド アプリ" を含める選択をします。

設定条件: “のみ."

今、私たちは楽しい部分に到達します。現在、使用できる条件には 6 つのカテゴリがあり、その中には追加の Azure AD ライセンスが必要な条件があります。 ユーザーリスク, サインインリスク、デバイス プラットフォーム (Android、iOS、Windows の電話、Windows、および macOS)、場所、クライアント アプリ、またはデバイス フィルター。MFA に対して可能な限り広範な要件を適用する場合は、簡単に クライアント アプリ [構成]コントロールを選択し、次に有効にすることによって、条件 ブラウザー そして モバイル アプリとデスクトップ クライアント.

また、従来の Exchange ActiveSync クライアントやその他の履歴奇数の条件を有効にすることもできますが、通常、これらのクライアントには MFA を使用する機能が用意されていないので、正常に動作することは期待できません。これらのオプションを選択すると、次のような例が得られます。

天国のために、すでにMFAをオンにするだけです

最も重要なパrt!

新しいポリシー ページの下部に潜んでいるのは、次のような小さなコントロールです。特に垂直解像度があまりない画面では見逃しやすいですが、すぐ隣にあるので、それを見ることを余儀なくされます。 創造する ボタン。

天国のために、すでにMFAをオンにするだけです

マイクロソフトはデフォルトで ポリシーを有効にする に設定する レポートのみ.これは、 たいへん良い ポリシーが必要な処理だけを行うことを確信できるまで、そのようにしておくべきです。望ましくないことを行った Active Directory グループ ポリシーまたは Exchange の保持ポリシーを誤って展開したことがある場合は、ポリシー エンジンによって不適切な指示が明るく破壊的に実行されていることに気付いた場合に発生する、沈み込む感覚を把握できます。あなたがそれを許せば、Intuneは喜んであなたに同じ感覚を与えるでしょう。

次のステップ

ポリシーが、目的のユーザーとアプリケーションにのみ適用されることをテストしたら、有効切り替え オン そして、いくつかの余分なセキュリティを楽しんで開始します。しかし、それは本当にIntuneができることの世界への最初のヒントのステップです。ポリシーを作成して、ユーザー、アプリケーション、およびデバイスが Azure AD およびその他の Microsoft 365 ワークロードと対話する方法の他の多くの側面を管理できます。

探検を楽しんでください.しかし、注意してください。

天国のために、すでにMFAをオンにするだけです




未分類

Posted by admin