統合 ID プロバイダー (IdP) は、アクセスを効果的に管理するために重要です。これにより、ユーザーとエンティティは、過剰なアクセス許可なしでリソースに適切なアクセス権を持つことができます。 ID、資格情報、アクセス管理ソリューションを統合すると、強力な認証、調整されたコンテキストベースの承認、ID リスク評価が作成されます。
管理予算局(OMB)覚書-22-09は、行政命令14028:国家のサイバーセキュリティの改善をサポートしてリリースされ、連邦機関は、ユーザーのために一元化されたID管理システムを採用することを義務付けています。 これらのシステムは、アプリケーションと一般的なプラットフォームに統合できるため、ID 管理に対する統一されたアプローチが保証されます。 この要件は、サイバーセキュリティとデータのプライバシーを強化するゼロ トラスト戦略の一部です。 IdP として Microsoft Entra ID
詳細については、「Microsoft Entra IDで M-22-09 の ID 要件を満たす」を参照してください。
ガイドのセクションに移動するには、次のリンクを使用します。
- 概要
- 同一性
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ
1 アイデンティティ
このセクションには、ID の柱に
1.1 関数: 認証
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度状態 エンタープライズは MFA を使用して ID を認証します。これには、パスワードが 1 つの要素として含まれ、複数のエンティティ属性 (ロケールやアクティビティなど) の検証が必要になる場合があります。 |
- アプリと認証をMicrosoft Entra IDに移行 - 必須のMicrosoft Entra多要素認証 - ゼロトラストでIDを保護 Microsoft Entra認証方法 Microsoft Entraのポリシー設定で、企業が許可する多要素認証方法を有効化します。 ユーザーがサインイン時に選択または使用するメソッドを有効にします。 - Microsoft Entra MFA の概要 - 認証方法を管理 、Microsoft Entra 条件付きアクセス すべてのクラウド アプリに MFA を要求する条件付きアクセス ポリシーを作成します。 多要素認証方法は、条件付きアクセスで "MFA を要求する" 許可制御を渡します。 ロケールやアクティビティなど、複数のエンティティ属性の検証を含めます。 アプリケーションのターゲット設定とネットワーク条件を使用します。 - 多要素認証を有効にする - 条件付きアクセスでクラウド アプリ、アクション、および認証 - 条件付きアクセス ポリシーの中のネットワーク Microsoft Entra 外部 ID 外部ゲストを含むすべてのユーザーに MFA を要求します。 テナント間のアクセス信頼設定を構成して、パートナーコラボレーションのエクスペリエンスを向上させます。B2B コラボレーション |
| Advanced Maturity Status Enterprise では、FIDO2 または PIV によるパスワードレス MFA の初期実装を含む、フィッシングに強い MFA と属性を使用して、すべての ID の認証が開始されます。 |
Microsoft Entra ID 現在のアプリケーションを移行し、Id プロバイダー (IdP) として Microsoft Entra ID を使用します。 新しいアプリケーションの Microsoft Entra ID との統合が必要です。 Microsoft Entra アプリケーション プロキシでレガシ認証プロトコルを使用するアプリケーションを含めます。 段階的ロールアウトを使用して、フェデレーション IdP からクラウドおよびマネージド認証に移行します。 これらのアクションにより、エンタープライズ リソースへのアクセスに対してフィッシングに対する耐性のある MFA が一貫して適用されます。 - Microsoft Entra ID にアプリと認証を移行する - Microsoft Entra アプリ ギャラリー - オンプレミス アプリを公開するための Microsoft Entra アプリケーション プロキシ - 段階的ロールアウトによるクラウド認証 条件付きアクセス Fast IDentity Online 2 (FIDO2) パスキーなどのパスワードレス MFA、または本人確認 (PIV) カードを使用した証明書ベースの認証 (CBA) を含む、フィッシング耐性のある MFA を要求するように条件付きアクセスの認証強度を構成します。 Microsoft Entra 認証の強度 Microsoft Entra 認証方法 Microsoft Authenticator、Microsoft Entra CBA、Windows Hello for Business のパスキー、およびパスキーなど、フィッシング耐性のある方法を使用して認証ポリシーを実装します。 FIDO2 セキュリティ キーも参照してください。 ユーザーをフィッシング耐性がない MFA から移行させるには、強度が低い認証方法から除外します。Microsoft Entra CBA |
| 最適な成熟度ステータス Enterprise では、アクセスが最初に付与されたときだけでなく、フィッシングに強い MFA を使用して ID を継続的に検証します。 |
条件付きアクセス 条件付きアクセス ポリシーは、ユーザーのセッション全体で継続的に評価されます。 ユーザーやサインインが Microsoft Entra ID Protection で危険として検出された場合など、特定の条件下で必要なサインイン頻度を増やすようにセッション 制御を構成します。 セッション制御 継続的アクセス評価 重要なイベントとほぼリアルタイムの連続アクセス検証に対して継続的アクセス評価 (CAE) を有効にします。 - 継続的アクセス評価 - Microsoft 365 用 CAE - CAE 対応アプリの API |
1.2 機能: アイデンティティストア
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise には、セルフマネージド ID ストアとホスト ID ストア (クラウドや他のエンタープライズなど) が組み合わせられ、ストア間の統合が最小限に抑えられます (シングル サインオンなど)。 |
Microsoft Entra ID Enterprises には、複数の ID ストアや ID プロバイダー (IdP) と統合されたアプリがある場合があります。 エンタープライズ IdP として Microsoft Entra ID を統合して採用します。 クラウド導入とオンプレミス ID ストアの依存関係の削減を計画します。 - Id とアクセスを Microsoft Entra ID に移動 - アプリと認証を Microsoft Entra ID Inventory アプリ、ユーザー、グループ、デバイスに移行します。 アイデンティティ ストアの正確な数を把握する。 Active Directory フェデレーション サービス (AD FS) やサードパーティ IdP などの ID ストアまたは IdP を含めます。 ユーザー、グループ、およびデバイスの属性がプラットフォーム間で一貫して更新されるようにするには、オンプレミスの Active Directory Domain Services (AD DS) と Microsoft Entra ID の間で ID を同期します。 - Microsoft Entra Connect Sync - Microsoft Entra Cloud Sync - シングル サインオン (SSO) - Microsoft Entra ID へのアプリ移行 - 認証プロトコルを使用した Microsoft Entra 統合 Microsoft Intune Microsoft Entra ハイブリッド結合の現在の AD DS ドメイン結合デバイス。 デバイス管理を最新化するには、新しいワークステーションをドメインに参加させないようにします。 Microsoft Intune を使用してデバイスを管理します。クラウドファーストアプローチ - ハイブリッド参加済みデバイス - 参加済みデバイスを使用したオンプレミス リソースへの SSO - Microsoft Intune - |
| 高度な成熟度ステータス Enterprise では、一部のセルフマネージド ID ストアとホステッド ID ストアの統合が安全に開始されます。 |
Microsoft Entra ID 企業は、ID ストアと IdP として Microsoft Entra ID を採用しました。 新しいアプリは Microsoft Entra ID と統合されます。 移行の場合、現在のアプリのインベントリが Microsoft Entra ID と統合されていません。 先進認証をサポートしていないレガシ アプリでは、Microsoft Entra アプリケーション プロキシで Microsoft Entra ID のセキュリティで保護されたハイブリッド アクセス (SHA) を使用できます。 先進認証プロトコルを使用するには、アプリの置換、リファクタリング、または再構成を行います。Microsoft Entra アプリ ギャラリーを - - アプリと認証を Microsoft Entra ID に移行する |
| 最適な成熟度ステータス Enterprise は、必要に応じて、すべてのパートナーと環境にわたって ID ストアを安全に統合します。 |
Microsoft Entra ID Microsoft Entra ID へのアプリの移行が完了しました。 エンタープライズ リソースにアクセスするには、Microsoft Entra ID による認証が必要です。 Microsoft Entra External ID 外部 ID による安全なコラボレーションを有効にします。 テナント間同期を構成して、IT 管理者の負担を軽減します。 シームレスで自動化されたユーザー エクスペリエンスを提供します。 - 外部 ID - Microsoft Entra のテナント間同期 Microsoft Entra アプリケーション プロビジョニング ID ストアを持つアプリケーションについては、ID とロールを管理するためにアプリケーション プロビジョニングを構成します。 - アプリ プロビジョニング - オンプレミス アプリ プロビジョニング - 、MICROSOFT Entra アプリケーション プロキシ - API 駆動型プロビジョニング アプリを構成し、MICROSOFT Entra HR 受信プロビジョニング オンプレミス アプリを発行 HR ドリブン ID プロビジョニングを使用して最新化します。 新しいデジタル ID の権限のあるソースである人事システムに基づいてデジタル ID を作成します。 プロビジョニングは、多くの場合、この段階から始まります。 オンプレミスの人事システムで Microsoft Entra を使用して、Active Directory または Microsoft Entra ID でユーザーを作成および更新します。 エンタープライズ向け Microsoft 365 人事主導のプロビジョニング Microsoft Entra ID と Microsoft 365 のマルチテナント組織機能を使用してテナント グループを形成し、組織間テナント間のコラボレーションを合理化します。 Microsoft Entra ID と Microsoft 365 のマルチテナント組織は、統合されたユーザー検索エクスペリエンス、グローバル アドレス一覧 (GAL)、および複数のテナントでの コラボレーションMicrosoft Teams - 、Microsoft 365 におけるマルチテナント組織 - |
1.3 機能:リスク評価
| CISA ZTMM ステージの説明 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、可視性をサポートするために手動の方法と静的ルールを使用して ID リスクを決定します。 |
企業は、セキュリティ イベントと構成基準を手動で確認できます。 Microsoft Entra ID Microsoft Entra ログを使用して Microsoft Entra テナントの側面を評価します。 Microsoft Entra ID には、さまざまなシナリオのアクティビティ ログ データとレポートにアクセスするためのオプションがあります。 - アクティビティ ログをストリームしてツールと統合 - Microsoft Graph API を使用してアクティビティ ログ - アクティビティ ログを統合 - Sentinel でリアルタイムなアクティビティ - Azure ポータルでアクティビティ ログとレポート - ストレージとクエリ用にアクティビティ ログをエクスポート Microsoft Entra ID の診断設定を構成して、ログを Azure Monitor と統合します。 ログをイベント ハブにストリーミングするか、ストレージ アカウントのログをアーカイブします。 診断設定の |
|高度な成熟度ステータス
Enterprise では、アクセスの決定と対応アクティビティを通知するために、自動化された分析と動的ルールによって ID リスクが決定されます。 |Microsoft Entra ID Protection
ユーザーとサインイン のリスクに対するリスクベースの Microsoft Entra 条件付きアクセス ポリシーを構成します。 ユーザーへの影響の評価に基づいて、応答アクティビティを使用して条件付きアクセス ポリシーを構成します。 たとえば、ユーザーとサインインのリスクが高い場合:アクセスをブロックするか、サインイン頻度セッション制御を構成します。 個人 ID 検証 (PIV) カードを必要とする認証強度、またはフィッシングに強い認証方法を使用します。
- Microsoft Entra ID Protection
- MFA 登録ポリシー
- ワークロード ID をセキュリティで保護する
- リスクベースの条件付きアクセス
Microsoft Sentinel
Microsoft Entra ID Protection アラートは、Microsoft Defender XDR に自動的に表示されます。 Microsoft Defender XDR を Microsoft Sentinel に接続して、可視性の向上、非XDR データとの相関関係、データ保持期間の延長、よりカスタマイズ可能な応答の自動化を実現します。
- Defender XDR
- Sentinel
に Defender XDR を接続する | |最適な成熟度ステータス
Enterprise は、継続的な分析と動的ルールに基づいて ID リスクをリアルタイムで決定し、継続的な保護を実現します。 |条件付きアクセス
クラウド アプリの条件付きアクセス アプリ制御を構成します。 Microsoft Defender for Endpoint でデバイスを保護し、電子メール、リンク (URL)、添付ファイル、コラボレーション ツールの脅威から Microsoft Defender for Office 365 を保護できるようにします。
- Defender for Cloud Apps と Microsoft Entra ID を使用したアプリ アクセス監視
- Defender for Endpoint の展開
- Defender for Office 365
Microsoft Purview Insider Risk Management を展開
Insider Risk Management を構成して、悪意のあるアクティビティや偶発的なアクティビティを検出、調査、および対処します。 インサイダー リスク ポリシーを使用して、識別および検出するリスクの種類を定義します。 必要に応じて、ケースに対処するか、Microsoft Purview eDiscovery (Premium) にエスカレーションします。
1.4 機能: アクセス管理
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、特権アクセス要求を含むアクセスを承認します。これは、自動レビューで期限切れになります。 |
Microsoft Entra 条件付きアクセス アプリの使用状況にポリシーを適用するように条件付きアクセスを構成します。 条件付きアクセスは、さまざまなソースからシグナルを受け取ってアクセスを承認します。 条件付きアクセス Microsoft Entra エンタイトルメント管理 アクセス要求と承認ワークフローのアクセス パッケージを、特権ロールやグループなどのロールとグループに構成します。 アクセス レビューの自動化を構成する。には、ロールとグループからの有効期限と削除が含まれます。 - エンタイトルメント管理 - エンタイトルメント管理とアクセス パッケージ - アクセス レビュー |
| Advanced Maturity Status Enterprise は、アクションとリソースに合わせて調整された特権アクセス要求を含む、ニーズベースおよびセッションベースのアクセスを承認します。 |
条件付きアクセス セッション ベースのアクセスを含むアクセスを承認するように条件付きアクセスを構成します。 ターゲット リソース、ロール、および特権ロール。 条件付きアクセス Microsoft Entra Privileged Identity Manager カスタム ロールやグループなどの重要なリソースへのアクセスを管理、制御、監視するように PIM を構成します。 特定のアクションとリソースへのアクセスを調整します。 - 特権のあるアイデンティティ管理 - Azure カスタム ロール の PIM - グループの PIM Microsoft Purview 特権アクセス管理 Office 365 の特権管理者タスクの詳細なアクセス制御のために特権アクセス管理を構成します。特権アクセス管理 - - PAMで始める |
| 最適な成熟度ステータス Enterprise では、自動化を使用して、個々のアクションと個々のリソース ニーズに合わせて調整された Just-In-Time および Just-enough アクセスを承認します。 |
Microsoft Entra ID Governance Microsoft Entra ID Governance アクセス パッケージを構成して、個々のアクションとリソースのニーズに合わせて調整された Just-In-Time (JIT) と Just-Enough Access (JEA) の承認を自動化します。 - エンタイトルメント管理 - アクセスパッケージ |
1.5 関数: 可視性と分析
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、ユーザーとエンティティのアクティビティ ログを収集し、定期的な手動分析といくつかの自動分析を実行します。ログの種類間の相関関係は限られています。 |
Microsoft Entra ID、Azure Monitor Microsoft Entra のログをストレージ アカウントにアーカイブするか、Azure Monitor と統合します。 Kusto Data Library と組み込みの ID ブックとログの種類の相関関係を使用して、日常的な手動分析を容易にします。 - Microsoft Entra の監視と正常性 - Azure Storage にアーカイブするアクティビティ ログ - Azure Monitor ログと統合するアクティビティ ログ - Log Analytics と Microsoft Entra ブック - |
| 高度な成熟度ステータス Enterprise では、一部のユーザーおよびエンティティ アクティビティ ログの種類に対して自動分析が実行され、コレクションが拡張され、可視性のギャップに対処できます。 |
Microsoft Entra ID、Microsoft Defender XDR、Microsoft Sentinel Microsoft Entra Identity アクティビティ ログを、診断設定や Defender XDR の他の ID ログ カテゴリと共に、Sentinel などのセキュリティ情報イベント管理 (SIEM) ソリューションに取り込みます。 - Microsoft Entra の監視と正常性 - Microsoft Entra ID でのサインイン ログ - Microsoft Sentinel - Microsoft Entra データを Sentinel に接続 - Defender for Identity - Defender XDR データを Sentinel に接続 - Defender for Cloud Apps |
| 最適な成熟度ステータス Enterprise では、行動ベースの分析など、ユーザー アクティビティ ログの種類に対して自動分析を実行することで、企業全体の包括的な可視性と状況認識を維持します。 |
Microsoft Entra ID Protection ID Protection を有効にして、ユーザーの動作パターンのリスクを監視します。 インサイダー リスク検出を構成し、条件付きアクセスと統合します。 - ID Protection - リスク ポリシー Sentinel、アイデンティティ脅威検出と対応 Sentinel の分析ルールが Microsoft Entra ログを取り込み、ほぼリアルタイムでイベント分析を行います。 高度な分析、インシデント管理ワークフロー、脅威インテリジェンス統合を使用して、セキュリティ イベントとリスクを事前に特定し、対応できるようにします。 インシデント調査を合理化し、エンタープライズ セキュリティ体制を強化します。 |
1.6 関数: オートメーションとオーケストレーション
| CISA ZTMM ステージの説明 | Microsoftのガイダンスや推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、特権 ID と外部 ID を手動で調整し、特権のないユーザーと自己管理エンティティのオーケストレーションを自動化します。 |
Microsoft Entra Connect、Microsoft Entra Cloud Sync オンプレミスの Active Directory を使用して、Entra Connect や Entra Cloud Sync を使用して特権のないユーザーのオーケストレーションを自動化します。オンプレミスの Active Directory から特権ユーザーを同期しないでください。 クラウドファーストの ID に向けた取り組みでは、特権のないユーザーを Microsoft Entra HR Provisioning で調整します。 - Microsoft Entra Connect v2 - Microsoft Entra Cloud Sync - Microsoft 365 をオンプレミスの攻撃から保護 - クラウド HR アプリから Microsoft Entra ユーザー プロビジョニング |
| 高度な成熟度ステータス Enterprise では、特権ユーザー ID を手動で調整し、すべての環境の統合を使用してすべての ID のオーケストレーションを自動化します。 |
Microsoft Entra アプリ プロビジョニング Microsoft Entra アプリケーション プロビジョニングを使用して、クラウド プロバイダーやサービスとしてのソフトウェア (SaaS) アプリなど、複数の環境にわたる ID のオーケストレーションを自動化します。 - Microsoft Entra ID - System for Cross-Domain Identity Management (SCIM) のアプリ プロビジョニングは、Microsoft Entra ID Microsoft Entra External ID と同期 パートナー環境間の ID オーケストレーションを自動化するようにテナント間同期を構成します。 - External ID - Microsoft Entra ID でのテナント間同期 - テナント間同期を構成する |
| 最適な成熟度の状態 Enterprise では、動作、登録、デプロイのニーズに基づいて、すべての環境で完全に統合されたすべての ID のオーケストレーションが自動化されます。 |
Microsoft Entra ID ガバナンス この成熟段階で ID オーケストレーションが完了します。 高度な の状態を参照してください。 Microsoft Entra エンタイトルメント管理は、マネージド ユーザー、アプリケーション、ロール、およびグループ アクセスを調整するために実装されています。 Privileged Identity Management (PIM) を使用して特権ユーザー ID を構成することで、ID 統合を完了します。 ライフサイクル ワークフローを使用して、joiner、mover、leaver の各シナリオ間の移動を自動化します。 - エンタイトルメント管理 - PIM - ライフサイクル ワークフローについて説明 |
1.7 機能:ガバナンス
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise では、自動化と手動の更新を最小限に抑えながら、エンタープライズ全体の適用のための ID ポリシーの実装を定義して開始します。 |
Microsoft Entra ID 新しいアプリ統合の ID プロバイダー (IdP) として Microsoft Entra ID を使用します。 現在のアプリを Microsoft Entra ID に移行します。 Microsoft Entra 条件付きアクセス ポリシーを構成して、エンタープライズ全体の要件を適用し、アプリケーションおよびリソース アクセスのポリシー適用ポイント (PEP) にします。 ロールベースのアクセス制御 (RBAC)、要求マッピング、および送信プロビジョニングを使用して、現在および将来のアプリの承認とロール マッピングを実装します。 - Microsoft Entra ID Governance - 条件付きアクセス |
| Advanced Maturity Status Enterprise では、IDポリシーを自動化と定期的なアップデートを通じてエンタープライズ全体で実行し、維持します。 |
条件付きアクセス 企業全体で ID ポリシーの適用に条件付きアクセスを使用します。 CISA Secure Cloud Business Applications (SCuBA) プロジェクトから Microsoft Entra ID の推奨事項を確認して実装し、その API を使用して条件付きアクセス構成を自動化します。 - 条件付きアクセスのデプロイ - CISA SCuBA と Microsoft Entra ID - condtionalAccessPolicy リソース タイプ |
| 最適な成熟度ステータス Enterprise では、継続的な適用と動的更新を使用して、すべてのシステムのすべてのユーザーとエンティティに対してエンタープライズ全体の ID ポリシーを実装し、完全に自動化します。 |
Microsoft Entra ID アプリ アクセスで Microsoft Entra ID を使用する必要があるため、条件付きアクセスの評価が適用されます。 ほぼリアルタイムの適用と ID 保護には、Microsoft Entra ID 継続的アクセス評価 (CAE) を使用します。 このアクションにより、環境リスクへの動的な適応が可能になります。 継続的な評価を適用するには、コードを使用して CAE をカスタム アプリと API に統合します。 |
次の手順
CISA ゼロ トラスト成熟度モデル用に Microsoft Cloud Services を構成します。
- 概要
- 同一性
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ