Microsoft、新しいテナント保護機能をリリース 管理者は90日以内に確認を：セキュリティニュースアラート

Microsoftはセキュリティを強化するための「自動条件付きアクセスポリシー」を発表した。リスク検知などに基づきテナントを自動で保護し、デフォルト設定を超えたセキュリティを提供する。

[後藤大地，有限会社オングス]

　Microsoftは2023年11月6日（現地時間）、「Microsoft Entra ID」（旧：Azure Active Directory）においてサイバーセキュリティ強化に向けた「自動条件付きアクセスポリシー機能」（Automatic Conditional Access policies）を発表した。リスク検知やライセンス、使用状況などに基づいてテナントを自動的に保護する機能と説明している。

MicrosoftはMicrosoft Entraの機能として自動条件付きアクセスポリシーを発表した（出典：MicrosoftのWebサイト）

多要素認証を必須化し、サインインリスクを管理

　Microsoftはテナントに適用されるセキュリティ設定について、デフォルトでセキュアになるように工夫しているが、この設定だけでは顧客が求めるものとしては不十分だとし、より細かい設定を制御できる機能として今回の「自動条件付きアクセスポリシー」を追加した。

　同社は「顧客が自身のニーズに合わせてそのポリシーをカスタマイズするのは難しいため、最初はMicrosoftが3つの自動条件付きアクセスポリシーを提供する」と説明している。顧客はこれらアクセスポリシーをカスタマイズできるため、自動条件付きアクセスポリシーを学びつつその恩恵を受けられる。

　提供が予定されている自動条件付きアクセスポリシーは以下の通りだ。

• 管理ポータルの多要素認証（MFA）を必須にする（Require multifactor authentication for admin portals）：　全ての顧客が対象。特権管理者ロールを対象としており、管理者がMicrosoft管理ポータルにサインインするときに多要素認証を必須とする
• MFAユーザーにMFAを要求する（Require multifactor authentication for per-user multifactor authentication users）：　すでにMFAを有効にしているユーザーが対象。MFAを有効にしているユーザーを対象に全てのクラウドサービスにMFAを要求する
• リスクの高いサインインにはMFAを義務付ける（Require multifactor authentication for high-risk sign-ins）：　Microsoft Entra ID プレミアムプラン 2を利用している全てのユーザーが対象。リスクの高いサインイン時にMFAと再認証を要求する

　Microsoftは対象となる全てのテナントに対して自動条件付きアクセスポリシーを段階的に展開する予定だ。テナントにポリシーが表示されたら90日以内にポリシーを確認し、カスタマイズや不要であれば無効化するようにアドバイスしている。90日間の間、ポリシーはレポート専用モードで動作するため、実施されることはなくポリシーの結果だけがログに記録される。90日間を過ぎるとこれら機能は自動的に有効化されるので注意が必要だ。