皆さんは Azure AD のセキュリティの既定値群を有効にしていますか?
この 11 月末からパスワード管理者、アプリケーション管理者、クラウドアプリケーション管理者、特権認証管理者がサインインごとに追加認証を聞かれる対象となることになりました。
今までは以下の 9 種類が追加認証の対象でした。
- 全体管理者
- SharePoint 管理者
- Exchange 管理者
- 条件付きアクセス管理者
- セキュリティ管理者
- ヘルプデスク管理者
- 課金管理者
- ユーザー管理者
- 認証管理者
そもそも何のことやら。と言いう人も多いのではないでしょうか。
このセキュリティの既定値群というのは Azure AD の設定で、細かなセキュリティ設定を行わなくても危険度が一気に下がるようにするためのテンプレート設定となります。
以下の URL からアクセスするサイトですね。
一番下にあるトグルスイッチを有効にすることでこの設定を行うことができます。
https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties
主には権限が必要となる動作をセキュアにしてくれる対応が含まれるのですが、詳細は以下のサイトを見るとよいでしょう。
Azure AD Premium を導入するような高度な対応を検討している場合は、この内容だけでは満足できないレベルとなるため、適さない。とされていますが、何を行ったらよいかわからない場合はまずここから手を付けましょう。という感覚で、クラウド初級者への採用を促しているようです。
これを採用することが以下の内容が組み込まれます。
- 管理者に対して MFA を必須にする
- Azure 管理のために MFA を必須にする
- レガシ認証をブロックする
- すべてのユーザーに対して MFA を必須にする
- Azure MFA への登録を必須とする
最近はシステムのクラウド化に伴って、管理者権限のあるユーザーがどこからでもアクセスできるようになりつつあります。
この状態は意図してセキュリティの強化に努めておかないと攻撃者が管理者権限を奪取しやすい状況であるともいえるでしょう。
この点はパスワード長を極長くするなど、意識すれば防げることが多いですが、逆に意識しなくては一気に脆弱な状況をになってしまうことを示唆しています。
ぜひこれを見た人は一度セキュリティについて考えてみる時間を取ってみましょう!
音楽:捨て石