30 分で Microsoft 365 テナントの MFA の有効性を向上させる

30 分で Microsoft 365 テナントの MFA の有効性を向上させる

マイクロソフト認証アプリケーションに番号一致と追加コンテキストを追加する

多要素認証 (MFA) を使用して Azure AD アカウントを保護する大ファンです。壊れたレコードのように聞こえる危険では、基本認証はクラウドアカウントに使用する恐ろしいことです。 パスワードのスプレー攻撃 ユーザーの資格情報を盗み、テナントの侵害につながる可能性があります。マイクロソフトは最善を尽くしています。 Exchange オンラインの基本認証を削除する 2022 年 10 月までに、テナントがユーザー アカウントをより良く保護する手助けになると考える取り組みは、クライアントやアプリなどをアップグレードする際に苦労する場合もあります。

パズルのもう一つの部分は、MFAの動作方法を改善して、より簡単かつ安全にすることです。ある 11月18日ブログ マイクロソフト VP アレックス サイモンズ、TEC 2021 基調講演者の 1 つによって、マイクロソフト認証アプリの 2 つの新機能を明らかにします。私は、すべてのMicrosoft 365テナントは、できるだけ早く番号の一致と追加のコンテキストを有効にすることを検討する必要があると思います。管理者の作業の 30 分は、ユーザーのセキュリティを向上させます (説明を読む時間を含みます)。必ずしもそうではありません。

でマイクロソフト365に実用的な洞察を得る 専門家会議2022.

2 つの新機能

番号一致 ユーザーが MFA チャレンジを実行すると、認証プロセスを完了するために認証アプリに入力する必要がある番号が表示されます (図 1)。このメカニズムは、すでに パスワードなし認証.

MFA プロンプトでの番号の一致
図 1: MFA プロンプトでの番号の一致

追加のコンテキスト 認証要求の承認を求められた場合、認証アプリはユーザーに追加情報を表示することを意味します。2 つの情報が表示されます。デバイスの IP アドレスに基づいて、認証を要求するアプリと、そのサインイン場所と同じ。もちろん、デバイスのIPアドレスの精度は多くの要因に依存し、場合によっては間違っています(今日、私のiPhoneで動作するオーセンティケータは、ダブリンの私の実際の場所から約60マイル離れたオフリーにいました)。ただし、サインインの試行が不可能な場所からのものではないことを人々に安心させるのに十分です。アプリ名は Azure AD に知られているため、Office 365 Exchange オンラインは OWA を意味します。

認証アプリによって表示される追加のコンテキスト
図 2: 認証アプリで表示される追加のコンテキスト

Azure AD 管理センターを使用した追加のコンテキストと番号の一致の更新

Azure AD 管理センターの設定を更新することで、認証システムの追加のコンテキストと番号の一致を有効にすることができます。に移動します。 [認証方法]ブレードをクリックし、[マイクロソフト認証システム]を選択し、 […] [設定]ポップアップを表示するオプションをターゲットの下の右端に移動します。両方の値を設定する 通知に追加のコンテキストを表示する を有効にします (図 3)。

Azure AD 管理センターでの認証システムの設定の更新
図 3: Azure AD 管理センターでの認証システムの設定の更新

両方の機能にプレビューのラベルが付いている。近い将来、一般公開される可能性が高い。

グラフ エクスプローラを使用したオーセンティケータの設定の更新

最も簡単な方法は、Azure AD 管理センターを使用して 2 つの機能を構成することですが、 グラフエクスプローラ をクリックして、オーセンティケータの設定にパッチを適用します。

グラフ エクスプローラは、Microsoft 365 テナント管理者全員がクエリを実行できるポイントまでマスターする必要があるツールです。グラフ API は Microsoft 365 の多くの部分を支えており、一部の設定とデータはグラフ クエリを通じてのみアクセスできます。Graph API 呼び出しを記述する予定がない場合でも、Graph Explorer を使用してコマンドを実行して、クエリの動作や返される内容を確認したり、テナント設定を更新したりできます。この場合は GUI オプションが存在しますが、グラフ エクスプローラの使用方法の良い例です。

グラフを使用してマイクロソフト認証システムの番号一致を有効にするには、次の手順を実行します。

  1. を開く グラフエクスプローラ テナント管理者アカウントでサインインします。
  2. このクエリをコマンド ボックスに入力します。ベータ エンドポイント (既定は V1.0) を選択したことを確認し、 クエリの実行.
  1. グラフ エクスプローラー (アプリ) には、認証システムの構成にアクセスするために必要なアクセス許可がないため、エラーが発生する可能性があります。クリック アクセス許可の変更 そして、その後、 アクセス権パネルを開く リンクを選択 認証メソッド グラフのアクセス許可のセットから。クリック 同意 アプリに同意を与えるために、通常の[アクセス許可の要求]ダイアログが表示されます。同意要求を受け入れ、グラフ エクスプローラーに戻ります。
  2. クエリを再実行します。今回は、グラフ エクスプローラに必要なアクセス許可が与えられます。
  3. JSON 形式の出力をコピーし、上のリクエストボディボックスに貼り付けます。の値を変更します。 番号照合必須状態 (番号一致)および 状態が必要な状態を表示します。 (追加のコンテキスト) プロパティ 有効.値のみを変更します。リクエスト本文の書式や構造は変更しないでください。
  4. デフォルトでは、グラフ エクスプローラは GET クエリを実行して情報を返します。設定を更新する必要があるため、ドロップダウン クエリの種類の一覧から PATCH を選択します。グラフ エクスプローラで表示される情報は、図 4 のようになります。クリック クエリの実行 をクリックして変更を行います。「コンテンツなし – 204」という応答が表示された場合、変更は成功です。クエリの種類を GET に変更し、クエリを実行して現在の構成を確認することで、構成設定が期待どおりであることを検証できます。
グラフ エクスプローラを使用した認証システムの構成のパッチ適用
図 4: グラフ エクスプローラを使用した認証システムの構成の修正

もちろん、Azure AD 管理センターで認証システムの構成を確認することもできます。

特定のグループに対する機能の制限

上記の方法では、テナント内のすべてのユーザーに対して番号一致が可能になります。また、機能を指定されたグループに制限するには、 身分証明書 プロパティは、"all_users" から Azure AD グループのオブジェクト識別子にまで及びます。たとえば、Azure AD テスターというグループがあるとします。グループ識別子を取得するには、Azure AD 管理センターでグループ ID を検索し、グループのプロパティから識別子をコピーします (図 5)。

Azure AD グループのプロパティ
図 5: Azure AD グループのプロパティ

または、Azure AD エンドポイントに接続した後、次の PowerShell コマンドを実行します。

を更新する 身分証明書 グループ識別子 (この例では 36fcfd60-9ad8-48ed-8c3c-ef36fc5d0c94) を持つプロパティを使用し、PATCH クエリを実行して、指定されたグループのメンバーへの機能へのアクセスを制限します。後で GET クエリを実行して、構成に期待値が含まれていることを確認してください。

個人的には、番号の一致と追加のコンテキストは、これらの機能がすべてのユーザーに利用可能である必要があるほど価値があると考えています。しかし、私は、エンタープライズテナントでは、新しいfのテストと文書化の要件を認めます一般的な導入前に食べ物が存在する可能性があるので、この柔軟性を持つことは良いことです。

MFA マーチング オン

Microsoft は、多要素認証の機能と使いやすさを徐々に改善し、確かな認証アプリを持つことが、その作業の大きな部分を果たしています。MFA がユーザーを保護するためにより多くの Microsoft 365 テナントによって使用されない理由は謎です。私は、数のマッチングと追加のコンテキストがMFAをより多く使用するように説得するためにバランスを傾けるとは思いませんが、MFAの重みは、攻撃者がMicrosoft 365テナントに侵入し、ユーザーアカウントを侵害するのを止める大きな部分を占めていることは間違いありません。トレンドが続くことを願いましょう。




未分類

Posted by admin