こんにちは。クラウド ビジネス相談センターの片岡です。

クラウド ビジネス相談センターは、 MPN パートナー様のクラウド ビジネス推進を支援する窓口です。 毎日たくさんのパートナー様から、 さまざまなご相談をいただいています。
「そこが知りたい!シリーズ」では、 クラウド ビジネス相談センター (クラ相) に寄せられるパートナー様のリアルなご相談をもとに、 今パートナー様が知りたい内容をお届けします。

今回は、Office 365 での MFA 利用についてお話しします。

Office 365 を提案するパートナー様より、「お客様が認証時のセキュリティ強化を望んでいる」「MFA を求められている」というご相談をいただくことがあります。お客様が望むセキュリティのレベルやコストはどのようなものでしょうか。Office 365 で実現するには、何が必要でしょうか。

MFA (多要素認証 – Multi-Factor Authentication) とは、ID とパスワード以外の要素を要求することで、認証の信頼性を高めるものです。例えば、ユーザーが登録済みの電話への着信応答や送信されたコードの入力、網膜や指紋などの身体的な特徴を求めるものなど様々です。

Office 365 の認証基盤は、Azure AD (Azure Active Directory) です。
Azure AD には有償のプランもありますが、無償のプランでも MFA の実装が可能です。
「ただで MFA が使える!」のですが、ここで考慮していただきたいのは、セキュリティのレベルと利便性です。当然、有償プランの方がどちらも高くなります。
以下が、Azure AD のプランと MFA 機能の違いです。

Free オプション
  組み込みの「セキュリティ デフォルト」を有効にして MFA を利用できます。ディレクトリ全体に対して有効化され、設定範囲や内容の変更はできません。

Office 365
  無償版で利用できる「セキュリティ デフォルト」または、ユーザーごとの MFA が利用できます。ユーザーごとの MFA では、管理者がユーザーを選択してMFA 利用の有効/無効の切り替えができます。対象となるアプリケーションや社内/社外などのユーザーの利用場面などを反映させるような運用はできません。

・ Azure AD Premium P1
  Azure AD Premium P1 プランでは、「条件付きアクセス」が利用できます。条件付きアクセスにより、認証のセキュリティ レベルをユーザーの役割や利用場面、対象となるアプリケーションやプラットフォームを絞って定義し、適用できます。例えば、社外からアクセスするときのみ MFA を必須とする、ある部門のユーザーが特定のアプリを利用する時のみ MFA を強制するなどの運用が可能になります。

・ Azure AD Premium P2
  このプランには、Azure AD Identity Protection が含まれます。これにより、リスクのあるサインインやユーザーが検出されるので、ID 保護が強化できます。
前述の「条件付きアクセス」の中で、サインイン リスクが検出された場合を条件に追加できます。例えば、匿名 IP アドレスや、通常とは異なるユーザーのサインイン プロパティなど、リスクがあると考えられるサインインが検出された場合に MFA を要求するなどの運用が可能になります。

— 組織での Multi-Factor Authentication を有効にする
 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/concept-fundamentals-mfa-get-started

「セキュリティ デフォルト」はFree オプションで利用できるものですが、初めて聞く方もいらっしゃるかもしれませんね。
セキュリティ デフォルト (Security Default – セキュリティ既定値) を有効化することで、組み込みの認証ポリシーを使って Azure AD ユーザーを保護します。以下の保護が適用されます。


 - 管理者の保護: Azure AD の管理者ロールを持つユーザーに対し、サインインのたびに MFA を要求します
 - すべてのユーザーの保護: すべてのユーザーに対して MFA 登録の完了を必須とし、必要に応じて MFA を要求します
 - 特権アクション: 管理作業などの特権を必要とするアクションに対し、MFA を要求します
 - レガシー認証のブロック: 先進認証を使っていない古い Office クライアント (Office 2010 など) や IMAP、SMTP、POP3 などの古いメール プロトコルを使った認証要求をブロックします

セキュリティ デフォルトは、組織の ID 保護を Azure 管理ポータルで有効化するだけで設定できます。
しかしその一方で、ディレクトリ全体に対して適用され、その内容をカスタマイズすることはできません。また、設定の一部のみの有効化もできません。また、Azure AD の条件付きアクセスとの併用もできません。

MFA では、ユーザー ID とパスワードと追加の認証が要求されるため、頻度が多すぎるとユーザーにとっては煩わしいものです。
MFA の本格的な利用を検討する組織に対しては、ユーザーの利便性の確保も併せて計画されることを推奨しています。条件付きアクセスと一緒にお使いいただき、必要なユーザーに必要な場面でのみ MFA が要求されるようにするのがよいでしょう。

— セキュリティ デフォルトとは
https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/concept-fundamentals-security-defaults

いかがでしたか?
Office 365 での MFA のご提案について、何かお困りのことがありましたら、ぜひクラウド ビジネス相談センターにご相談ください。

===== クラウド ビジネス相談センター =====
クラウド ビジネス相談センターは、Microsoft Partner Network (MPN) にご参加いただいているパートナー様の技術的な支援を行っています。

Azure、Microsoft 365 など各種クラウド サービス、および、Windows Server、Windows 10、SQL Server について、提案準備中/提案中/展開計画中、アプリケーション設計/開発中のフェーズにおいて、パートナー様のビジネス フェーズに沿って、機能や構成についての情報やアドバイスの提供等の支援を行います。

対応範囲については、こちらの Web サイトをご覧ください。

MPN 特典として、メンバーシップに合わせて相談時間が提供されています。
Gold コンピテンシー、Silver コンピテンシーを取得済みのパートナー様は、ご提案先のお客様名など案件情報を共有していただけますと、提案中のご相談については無償で (相談時間を消費せず) ご利用いただけます。

皆様のご利用お待ちしています。ぜひ、クラウド ビジネス相談センターをご活用ください。

ご利用方法
クラウド ビジネス相談センターのご利用は、お電話、または、オンラインで承っています。

電話
0120-70-8105 音声案内 3 番 (* 携帯からもご利用いただけます)
受付時間: 9:00 – 17:30 (土日祝日、弊社指定休業日を除く)

オンライン
MPN ポータル、または、Partner Center からご相談いただけます。
お問い合わせ手順は、こちらの Web サイトをご覧ください。

* 本コンテンツのすべての内容は、作成日時点でのものであり、時間の経過または様々な後発事象によって変わる可能性がありますので、あらかじめご了承ください。