実用的で実用的なセキュリティは強硬なセキュリティよりも優れています
不合理な Azure AD サインイン頻度は生産性の障壁となります
今週、ゲストアカウントを持っている会社の1つのセキュリティチームがテナントのセキュリティを向上させることを決定したとき、私は不愉快な驚きを経験しました。私はあらゆる努力を強く支持します テナントのセキュリティを向上させる特に、その努力が多要素認証のより良い使用を意味する場合。これは、4月にロンドン、パリ、フランクフルトで開催されるTEC Europe 2023ツアーで取り上げるトピックです。 これらのイベントへの登録 がオープンしました。
セキュリティについて実用的かつ実用的な視点を持ち、ユーザーの生産性に大きな影響を与えるものを実装しないことが常に重要です。すべての変化はユーザーに影響を与える可能性がありますが、ほとんどの場合、人々は変化とともに生きることを学び、それは破壊的ではありません。残念ながら、Azure AD アカウントのユーザー サインイン頻度を増やすことを決定すると、行き過ぎると非常に混乱を招く可能性があります。
Azure AD のサインイン頻度は、SharePoint Online ドキュメントを開く、OWA を使用したメッセージを作成する、Teams チャネルにアクセスするなど、リソースへのアクセスを試みるときにユーザーが再度サインインが必要になるまでの期間です。既定では、Azure AD はサインイン頻度に 90 日間のローリング ウィンドウを使用します。つまり、テナントに正常にサインインすると、Azure AD はさらに 90 日間、再度サインインするように要求しません。
ユーザー アカウント アクセスの取り消し
90日は長い時間のように聞こえます、そしてそれはそうです。ただし、この期間は、Azure AD と Microsoft 365 アプリケーションがどのように機能するかというプリズムを通して見る必要があります。たとえば、2022 年初頭に、Microsoft はすべてのテナントに対して継続的アクセス評価 (CAE) を有効にしました。CAE は、更新されたパスワードなど、ディレクトリ内の重要な変更を Azure AD がアプリケーションに通知できるようにするメカニズムです。SharePoint Online などの CAE を認識するアプリケーションは、アカウントの既存のアクセスを取り消して、ユーザーに再認証を要求します。
Microsoft 365 管理センターには、現在のすべてのセッションからユーザーをサインアウトして (図 1)、再認証を強制するオプションも含まれています。

もちろん、ユーザーをサインアウトする以上のことを行うこともできます。従業員の退職など、場合によっては、今後のサインインをブロックする必要があります。これは、PowerShell で簡単にスクリプト化できる操作です。たとえば、次のコードは次のようになります。
- Azure AD ユーザー アカウントの識別子を取得します。
- アカウントを無効にします。
- 新しいパスワードを設定します。
- すべての更新トークンを取り消します。
$UserId = (Get-MgUser -UserId Lotte.Vettler@Office365itpros.com).Id # Disable the account Update-MgUser-UserId $UserId -AccountEnabled:$False # Set a new password $NewPassword = @{} $NewPassword["Password"]= "!DoneAndDusted?" $NewPassword["ForceChangePasswordNextSignIn"] = $True Update-MgUser -UserId $UserId -PasswordProfile $NewPassword -AccountEnabled:$True # Revoke refresh tokens $Status = Invoke-MgInvalidateUserRefreshToken -UserId $UserId
トークンの有効期限が切れる必要があり、クライアントが再認証の必要性を認識しているため、ブロック全体が有効になるまでに少し時間がかかる場合がありますが、それは発生します。
条件付きアクセスによってゲスト アカウントが悲惨になる方法
問題が発生した理由は、セキュリティ チームがゲスト ユーザーの条件付きアクセス ポリシーを更新して、60 分のサインイン頻度を強制したためです (図 2)。この変更は恐ろしい影響を及ぼしました。ゲストが Teams を使用してテナントに切り替えると、必然的に MFA の課題が発生しました。そのテナントで SharePoint Online または OneDrive for Business に格納されているドキュメントを開くと、MFA の課題が生じました。私の一日は、新しいポリシーについて不平を言うためにテナントの人々に電子メールを送信するときを除いて、MFAの課題でいっぱいでした。電子メールは条件付きアクセス ポリシーの影響を受けません。

マイクロソフトが指摘しているように 彼らのドキュメンテーション, “お客様からのフィードバックに基づいて、サインイン頻度は MFA にも適用されます."彼らは問題を過小評価しています。サインイン頻度は MFA にも適用されます。
私はセキュリティチームの動機を理解しています。リソースにアクセスする前にユーザーに再認証を強制することは良いことです。MFAを使用することは良いことです。MFAチャレンジを1時間ごとに強制することは、素晴らしい変化でなければなりません。
それだけがそうではありません。別の会社で働く外部の人として、この変更により生産性が大幅に低下し、テナントの全体的なセキュリティ効果に1つのイオタが追加されたとは思えません。テナントは使用しませんでした 数値 mMFAの課題のアッチングと追加のコンテキストしたがって、絶え間ないMFAの課題は、クリックしてもう一度クリックして「はい、それは私です」と言うと、ユーザーの疲労がどのように忍び寄るかを示す良い例でした。 システム優先認証 どちらも使用されていなかったので、Authenticatorアプリを使用している間、他のゲストは比較的安全でないSMSチャレンジ/レスポンスを使用する可能性があります。
全体として、この変更によりテナントと協力するのが不快になり、それは悪いことです。1 時間のサインイン頻度は厳格で厳しすぎます。このような短い頻度を使用する他のテナント(私がゲストである場所)を私は知りません。私が知っているほとんどのテナントは、90日間のデフォルトを使用しています。7日間使用する人もいます。最もセキュリティを意識している (これまで) 1 日の頻度を使用します。
すべてのテナントにベストアンサーはありません
実際には、テナント アカウントとゲスト アカウントのどちらに使用するのに最適なユーザー サインイン頻度がわかりません。それはすべて、組織が想定したいセキュリティ体制に依存します。ただし、ほとんどのテナントは、サインイン頻度を減らす前に、すべてのアカウントで MFA を使用していることを確認し、安全性の低い認証方法の使用を排除する方がよいと言えます。ゲストの検疫 (この場合は、ゲスト アカウントの安全性) が心配な場合は、Azure B2B コラボレーションを通じて作業を行う必要性を覚えながら、ゲスト アクセスに対して別の、より制限の厳しい条件付きアクセス ポリシーを使用します。そして ゲスト アカウントを毎年確認する 不要で時代遅れのゴミを取り除きます。
私にとって、より良いセキュリティへの旅にユーザーを連れて行くことは、強化されたセキュリティを喉に突き刺すよりも優れた戦術です。それはいつもそうでした。
常に多くの変化があります。マイクロソフトがOffice 365全体で行うすべての更新に遅れないようにすることは課題です。購読する IT プロフェッショナル向け Office 365 eBook では、何が起こるのか、なぜ起こるのか、テナントにとってどのような新機能が意味があるのかについて、毎月の洞察を得ることができます。
ディスカッション
コメント一覧
まだ、コメントがありません