Microsoft Entra IDでアカウントやパスワードの悩みを解決しよう

深刻な組織への攻撃や大規模な情報漏洩など、セキュリティ被害を耳にする機会が増え、中小企業でも、「セキュリティ対策」へのニーズが増えてきました。こうした中、注目を集めているのがMicrosoft 365を利用したセキュリティ対策の強化です。Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5に組み込まれているセキュリティ機能を活用することで、簡単な設定で、組織のセキュリティレベルを向上させることができます。今回は「アカウント管理」について解説します。Microsoft Entra IDを利用することで、パスワードの漏洩や不正なアクセスから組織を保護しましょう。

現在、組織でパスワードがどのように運用されているか把握できていますか？

簡単なパスワードやパスワードの使い回し（特に個人アカウントとの共有）を避けることを通知しても、それが守られているとは限りません。

また、昨今はリモートワークの普及により、オフィスの外からも組織のメールやストレージにアクセスできることが当たり前になってきました。このようなシーンで「パスワードだけ」に頼った運用がなされていると、万が一、パスワードが漏洩した際に、組織の重要な情報を保護することが難しくなります。

そこで活用したいのがMicrosoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5に含まれている「Microsoft Entra ID」の機能です。

Microsoft Entraは、Microsoftが提供するアカウント管理プラットフォームです。Microsoft 365を利用できるアカウント（ID）を発行したり、ユーザーがアクセスした際の認証を実行したりする役割を持っています。

近年、セキュリティ分野では「ゼロトラスト」という考え方が主流になりつつあります。これは簡単に説明すると、ユーザーが組織の情報にアクセスする際に、場所や人（権限）、情報の種類を問わず「常に認証」しようというものです。この「認証」の基盤となっているのがMicrosoft Entra IDになります。

Microsoft Entra IDには、基本的な認証機能だけでなく、アカウントを保護するための多要素認証や条件付きアクセスといったセキュリティ機能が用意されています。Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5を利用している場合は、こうしたセキュリティを活用するだけで、組織のセキュリティレベルをワンランクアップさせることができます。

では、具体的にどのような機能が使えるのかを見てみましょう。

Microsoft Entra IDでは、たくさんの機能が提供されています。また、Microsoft Entra IDにはP1とP2という2つのプランがあり、P1はMicrosoft 365 Business PremiumとMicrosoft 365 E3に、P2はMicrosoft 365 E5に含まれています（機能の違いについては以下の公式サイトを参照）。

主なセキュリティ機能は次のとおりです。

このように、多数の機能を持つMicrosoft Entra IDですが、その中でも基本となるうえ、中小企業でも使いやすい機能となっているのが「多要素認証」と「条件付きアクセス」です。

多要素認証は、ユーザーがMicrosoft 365にサインインする際に、パスワードだけでなく追加の認証を要求する仕組みです。SMSのメッセージ、スマートフォン向けの認証アプリ（Microsoft Authenticator）への通知、PCに搭載された顔認証や指紋認証（Windows Hello for Business）、ハードウェアトークン、セキュリティキーなどがサインイン時に要求されます。

つまり、多要素認証を利用することで、仮にパスワードが外部に漏洩したとしても、追加の認証によって不正なアクセスを防げることになります。リモートワークなどで外部からも組織の情報にアクセスする機会が増えている状況を考えると多要素認証を利用することは非常に重要です。

多要素認証自体は、Microsoft Entra IDの無料プランでも利用できる機能となっており、「セキュリティの規定値」によって全ユーザーに一括で有効化できます。ただし、Microsoft 365 Business PremiumやMicrosoft 365 E3、Microsoft 365 E5（Microsoft Entra ID P1、Microsoft Entra ID P2）の環境では、条件付きアクセスと組み合わせた柔軟な設定が可能になっているのが特徴となります（条件付きアクセスを利用する場合はセキュリティの規定値は無効で利用する必要がある）。

条件付きアクセスは、文字通り、「条件」によって「アクセス」の可否を判断するしくみです。

条件には、さまざまな状況を指定できます。具体的には以下のようなものを選択できます。

例えば、「管理タスクに多要素認証を強制」、「セキュリティ情報の登録に信頼できる場所（IPアドレスのネットワーク）を要求」、「社外からのアクセスは準拠デバイスのみに制限する」、「一定時間ごとに再認証を要求」といったように、条件に応じた認証を制御することができます。

もちろん、あまり複雑な条件を指定すると、設定が複雑になるうえ、条件から漏れたケースがセキュリティ上の弱点になってしまう危険があるため、はじめはシンプルな構成からスタートするといいでしょう。

Microsoft Entra 管理センター（Entra admin center）の「条件付きアクセス」の設定画面には、組織でよく使うセキュリティ設定を簡単に適用できるテンプレートが用意されています。このうち、「すべてのユーザーに多要素認証を要求する」を利用すれば、簡単に、組織の全ユーザーに対して多要素認証の設定を強制できます。

多要素認証と条件付きアクセスを組み合わせた設定は、もう1つMicrosoft 365のセットアップから実行する方法もあります。

Microsoft 365管理センターの「セットアップ」画面には、Microsoft 365を使い始めるために必要なドメインの設定などを実行するためのガイドが用意されています。Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5を利用している場合は、ここから簡単に多要素認証と条件付きアクセスを組み合わせたセキュリティ設定が可能です。

「多要素認証（MFA）の構成」（適用ポリシーを選択したい場合は「条件付きアクセス（CA）ポリシーテンプレートを展開する」）を選択すると、利用しているプランや環境に合わせた条件付きポリシーを自動的に適用できます。例えば、Microsoft 365 E5などMicrosoft Entra ID P2の契約がある場合はリスクベースの制御も適用されます。

これらの機能を活用して、多要素認証を適用することで、組織のアカウントの安全性を向上させることができます。

このように、Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5のセキュリティ機能を活用すると、「パスワードだけ」に依存した環境から、多要素認証を使ったより安全な環境へと簡単に移行することができます。

ただし、組織によっては、より複雑な条件を使ってアカウントを制御したいケースもあることでしょう。

例えば、海外にも支店がある場合は海外からのアクセスに多要素認証を適用したいといった場合が考えられます。また、リモートワークをより安全に実施するために多要素認証を活用したいというケースもあるでしょう。

こうしたケースでは、手動で条件付きポリシーを設定する必要があります。設定に失敗すると、最悪の場合アクセスが遮断され業務に支障が出る場合もあります。多要素認証を使ったより安全な環境をご検討の場合は、専門家に相談することをおすすめします。リコージャパンでは社員の中から選抜されたMicrosoft製品のスペシャリスト「Microsoftソリューション エバンジェリスト」が課題解決や導入後のサポートを提供します。