Microsoft Entra では、セキュリティに関する推奨事項を、Secure Future Initiative (SFI) に基づいて複数のテーマにグループ化します。 この構造により、組織は論理的にプロジェクトを関連する消費型チャンクに分割できます。
Tip
一部の組織では、これらの推奨事項が書かれたとおりに行われる場合もあれば、独自のビジネス ニーズに基づいて変更を行う場合もあります。 このガイダンスの最初のリリースでは、従来の 従業員テナントに焦点を当てています。 これらの従業員テナントは、従業員、内部ビジネス アプリ、およびその他の組織リソース用です。
ライセンスが利用可能な場合は、次のすべてのコントロールを実装することをお勧めします。 これらのパターンとプラクティスは、このソリューションに基づいて構築された他のリソースの基盤を提供するのに役立ちます。 このドキュメントには、時間の経過に伴ってさらに多くのコントロールが追加されます。
自動評価
テナントの構成に対してこのガイダンスを手動で確認すると、時間がかかり、エラーが発生しやすくなります。 ゼロ トラスト評価は、自動化によってこのプロセスを変換して、これらのセキュリティ構成項目などをテストします。 詳細については、「 ゼロ トラスト評価とは」を参照してください。
ID とシークレットを保護する
最新の ID 標準を実装することで、資格情報関連のリスクを軽減します。
テナントの保護と運用システムの分離
| 確認 | 最低限必要なライセンス |
|---|---|
| 新しいテナントを作成するためのアクセス許可は、テナント作成者ロールに制限されます | なし (Microsoft Entra ID に含まれます) |
| 保護されたアクションを有効にして、条件付きアクセス ポリシーの作成と変更をセキュリティで保護する | Microsoft Entra ID P1 |
| ゲスト アクセスは、承認されたテナントに制限されます | Microsoft Entra ID Free(無料) |
| ゲストに高い特権ディレクトリ ロールが割り当てられない | Microsoft Entra ID Free(無料) PIM の Microsoft Entra ID P2 または Microsoft ID ガバナンス |
| ゲストは他のゲストを招待できません | Microsoft Entra ID Free(無料) |
| ゲストがディレクトリ オブジェクトへのアクセスを制限している | Microsoft Entra ID Free(無料) |
| アプリ インスタンスのプロパティ ロックは、すべてのマルチテナント アプリケーションに対して構成されます | Microsoft Entra ID Free(無料) |
| ゲストは有効期間の長いサインイン セッションを持っていません | Microsoft Entra ID P1 |
| ゲスト アクセスは強力な認証方法によって保護されます | Microsoft Entra ID Free(無料) 条件付きアクセスに推奨される Microsoft Entra ID P1 |
| ユーザー フローを使用したゲスト セルフサービス サインアップが無効になっている | Microsoft Entra ID Free(無料) |
| 送信テナント間アクセス設定が構成されている | Microsoft Entra ID Free(無料) 条件付きアクセスに推奨される Microsoft Entra ID P1 |
| ゲストがテナント内のアプリを所有していない | なし (Microsoft Entra ID に含まれます) |
| すべてのゲストはスポンサーを持っています | Microsoft Entra ID Free(無料) |
| 非アクティブなゲスト ID が無効になっているか、テナントから削除される | Microsoft Entra ID Free(無料) |
| すべてのエンタイトルメント管理ポリシーの有効期限が設定されている | エンタイトルメント管理およびアクセス レビュー用の Microsoft Entra ID P2 または Microsoft ID ガバナンス |
| 外部ユーザーに適用されるすべてのエンタイトルメント管理割り当てポリシーには、接続された組織が必要です | エンタイトルメント管理およびアクセス レビュー用の Microsoft Entra ID P2 または Microsoft ID ガバナンス |
| ゲストに適用されるすべてのエンタイトルメント管理パッケージには、割り当てポリシーで有効期限またはアクセス レビューが構成されています | エンタイトルメント管理およびアクセス レビュー用の Microsoft Entra ID P2 または Microsoft ID ガバナンス |
| Microsoft Entra 参加済みデバイスでローカル管理者を管理する | なし (Microsoft Entra ID に含まれます) |
| 管理者以外のユーザーが所有デバイスの BitLocker キーを回復できないように制限する | なし (Microsoft Entra ID に含まれます) |
ネットワークを保護する
ネットワーク境界を保護します。
| 確認 | 最低限必要なライセンス |
|---|---|
| 名前付きの場所が構成されている | Microsoft Entra ID P1 |
| テナント制限 v2 ポリシーが構成されている | Microsoft Entra ID P1 |
エンジニアリング システムの保護
ソフトウェア資産を保護し、コードのセキュリティを強化します。
| 確認 | 最低限必要なライセンス |
|---|---|
| 緊急アクセス アカウントが適切に構成されている | Microsoft Entra ID P1 |
| グローバル管理者ロールのアクティブ化によって承認ワークフローがトリガーされる | Microsoft Entra ID P2 |
| グローバル管理者が Azure サブスクリプションに永続的にアクセスできない | なし (Microsoft Entra ID に含まれます) |
| 新しいアプリケーションとサービス プリンシパルの作成は特権ユーザーに制限されます | Microsoft Entra ID P1 |
| 非アクティブなアプリケーションには、高い特権を持つ Microsoft Graph API アクセス許可がありません | Microsoft Entra ID P1 |
| 非アクティブなアプリケーションには、高い特権を持つ組み込みロールがありません | Microsoft Entra ID P1 |
| アプリの登録で安全なリダイレクト URI を使用する | Microsoft Entra ID P1 |
| サービス プリンシパルが安全なリダイレクト URI を使用する | Microsoft Entra ID P1 |
| アプリの登録には、未解決または破棄されたドメイン リダイレクト URI を含めてはなりません | Microsoft Entra ID P1 |
| アプリケーションに対するリソース固有の同意が制限されている | Microsoft Entra ID P1 |
| ワークロード ID に特権ロールが割り当てられない | Microsoft Entra ID P1 |
| エンタープライズ アプリケーションでは、明示的な割り当てまたはスコープ付きプロビジョニングが必要です | Microsoft Entra ID P1 |
| エンタープライズ アプリケーションには所有者がいます | なし (Microsoft Entra ID に含まれます) |
| ユーザーあたりのデバイスの最大数を 10 に制限する | なし (Microsoft Entra ID に含まれます) |
| 特権アクセス ワークステーションの条件付きアクセス ポリシーが構成されている | Microsoft Entra ID P1 |
サイバー脅威の監視と検出
セキュリティ ログとトリアージ アラートを収集して分析します。
| 確認 | 最低限必要なライセンス |
|---|---|
| 診断設定は、すべての Microsoft Entra ログに対して構成されます | Microsoft Entra ID P1 |
| 特権ロールのアクティブ化で監視とアラートが構成されている | Microsoft Entra ID P2 |
| グローバル管理者ロールの割り当てのアクティブ化アラート | Microsoft Entra ID P2 |
| すべての特権ロールの割り当てに対するアクティブ化アラート | Microsoft Entra ID P2 |
| フィッシング詐欺に強い方法で特権ユーザーがサインインする | Microsoft Entra ID P1 |
| リスクの高いユーザーはすべてトリアージされます | Microsoft Entra ID P2 |
| リスクの高いサインインはすべてトリアージされます | Microsoft Entra ID P2 |
| [リスクの高いワークロード ID はすべてトリアージされます] | |
| すべてのユーザー サインイン アクティビティで強力な認証方法が使用される | Microsoft Entra ID P1 |
| 優先度の高い Microsoft Entra の推奨事項に対処する | Microsoft Entra ID P1 |
| ID 保護の通知が有効になっている | Microsoft Entra ID P2 |
| レガシ認証サインイン アクティビティなし | Microsoft Entra ID P1 |
| すべての Microsoft Entra の推奨事項に対処する | Microsoft Entra ID P1 |
応答と修復を高速化する
セキュリティ インシデント対応とインシデント通信を改善します。
| 確認 | 最低限必要なライセンス |
|---|---|
| リスク ポリシーに基づくワークロード ID が構成されている | Microsoft Entra ワークロード ID |
| リスクの高いサインインを制限する | Microsoft Entra ID P2 |
| リスクの高いユーザーへのアクセスを制限する | Microsoft Entra ID P2 |