Azure における多要素認証の必須化
昨年8月、マイクロソフトはサインインに必須の多要素認証(MFA)の実装を発表し、Azureパブリッククラウドユーザーのセキュリティ強化に向けて大きな一歩を踏み出しました。マイクロソフトが実施した調査によると、MFAはアカウント侵害の99.2%以上を防ぐことができ、不正アクセスに対する重要な防御メカニズムとなっています。
段階的な導入戦略
MFA の展開は戦略的に 2 つの主要フェーズに分けられました。2024 年 10 月に開始された第 1 フェーズでは、主に管理ポータルへのサインインにおける MFA の適用に重点が置かれました。この要件は現在、Azure ポータル、Microsoft Entra 管理センター、Intune 管理センターなどの重要な Azure サービスにログインするすべてのユーザーに適用されます。
2023年3月現在、MicrosoftはAzureテナント向けの初期ポータル適用の実装に成功したことを確認しています。この進捗はフェーズ2への道筋を示しており、Azure Resource Managerレイヤーで「段階的な適用」が導入されます。この新しいレイヤーでは、MFAの要件が以下の必須ツールにまで拡張されます。
- Azure CLI
- Azure PowerShell
- Azure モバイル アプリ
- インフラストラクチャ・アズ・コード(IaC)ツール
MFA の準備: 管理者向けガイダンス
Azure管理者にとって、この新しい要件への移行にはある程度の準備が必要です。Microsoftは、このプロセスを簡素化するために条件付きアクセスポリシーを構成することを推奨しています。設定手順は以下のとおりです。
- 条件付きアクセス管理者権限で Microsoft Entra 管理センターにログインします。
- Entra ID に移動し、条件付きアクセスを選択して、ポリシーに進みます。
- 新しいポリシーを作成し、わかりやすい名前を割り当てます。
- 割り当てに含める適切なユーザーまたはグループを選択します。
- [ターゲット リソース] で、クラウド アプリを識別し、「Microsoft 管理ポータル」と「Windows Azure サービス管理 API」を含めます。
- 「アクセス制御」で、「許可」を選択し、「認証強度を要求する」を選択して、「多要素認証」を選択します。
- ユーザーをロックアウトすることなく潜在的な影響を評価するため、最初にポリシーを「レポートのみ」モードに設定してください。最後に「作成」を選択します。
これらの設定を適用するには、Microsoft Entra ID P1 または P2 ライセンスが必要ですのでご注意ください。これらの変更との互換性を最大限に高めるため、Microsoft は、システムを少なくとも Azure CLI バージョン 2.76 および Azure PowerShell バージョン 14.3 に更新することを推奨しています。
この移行に関する詳細と最新情報については、ソースを参照してください。
コメントを残す