米国の大統領令と政府機関の取り組みについての5つの Tips と、デプロイのベストプラクティスの紹介です。
Top 5 Common Deployment Tips for US Government Agencies - Microsoft Community Hub
以下、少々意訳、要約しています。
国家のサイバーセキュリティの改善に関する大統領令 14028(EO 14028)は、多額の投資を通じて、悪意あるサイバーキャンペーンと関係者の特定、保護、対応取組みの改善を連邦政府に指示しています。
行政管理予算局(OMB)は、連邦ゼロトラスト戦略覚書 M-22-09 をリリースし、連邦政府機関の ID に関する具体的なガイダンスを出しています。
1.一元化されたクラウドベースの ID ソリューション
2.フィッシング耐性のある多要素認証(MFA)の実装による認証強化
3.認可の決定にデバイスのシグナルを含める
多くの機関は、ビジネスを大幅に中断することなくこれらの要件の実装に苦労していますが、Azure AD では、EO 14028 要件を満たす機能をより迅速かつ簡単に展開できるよう取り組んできました。
昨年、Azure AD の機能拡張により、EO 14028 の要件も満たすよう幾つかの機能をリリースしました。要件を満たすための5つのヒントです。
1.ID プロバイダーを統合し、Azure AD の証明書ベース認証(CBA)を利用
従来、CBA を使用する場合は Azure AD を ADFS などの IDP とフェデレーションする必要がありましたが、Azure AD CBA ではフェデレーションが不要になりました。
Azure AD の証明書ベースの認証の概要 - Microsoft Entra | Microsoft Learn
2.Azure Virtual Desktop ユーザー向けのフィッシング対策 MFA
RDS(Remote Desktop Service)AAD認証を実装し、Azure AD Join または Hybrid Azure AD Join 済みデバイスに対してユーザー認証しており、AVD および Windows 365 に対する認証を行うことができます。
Azure AD 認証を使用して Azure Virtual Desktop 用のシングル サインオンを構成する - Azure | Microsoft Learn
3.モバイル(iOS、Android)でのフィッシング対策 MFA
ユーザーはセキュリティキーに保存されている証明書を使用してモバイルデバイスで認証できるようになりました。これらの証明書はモバイルデバイスにインストールされた証明書とは異なりハードウェアで保護されており、ユーザーは複数デバイス間で同じセキュリティキーを使用してローミングできるため、すべてのモバイルデバイスに証明書を発行する必要がなくなりました。
Apple デバイスでの Azure Active Directory の証明書ベースの認証 - Microsoft Entra | Microsoft Learn
Android デバイスでの Azure Active Directory 証明書ベースの認証 - Microsoft Entra | Microsoft Learn
4.フィッシング対策 MFA を全ユーザーに適用
条件付きアクセスの認証強度の構成で、特定のリソースやアクション、アプリへのきめ細かいアクセス許可を設定します。
テナント間アクセス設定や B2B コラボレーションの設定により、外部ユーザーに対してもフィッシング耐性のある認証を要求します。
Azure Active Directory の認証強度の概要 - Microsoft Entra | Microsoft Learn
条件付きアクセス - 外部ユーザー向けの認証強度 - Microsoft Entra | Microsoft Learn
B2B コラボレーションの Microsoft クラウド設定を構成する - Microsoft Entra | Microsoft Learn
5.認可にデバイスのシグナルを活用
Hybrid Azure AD Join やデバイスの準拠を求めるよう条件付きアクセスポリシーを構成します。
B2B コラボレーションのテナント間アクセス設定で、外部ユーザーにも同じく要求するよう構成します。
準拠しているデバイス、ハイブリッド参加済みデバイス、または MFA を必須にする - Microsoft Entra | Microsoft Learn
ビジネス継続性を維持し、何千人ものユーザーとデバイスを持つ企業が数日以内に迅速な展開を行ってきた過去数年間の改善されたベストプラクティスです。
1.CBA をオンプレミスの IdP から Azure AD に移行する
CBA をオンプレミス IdP(つまり ADFS)からクラウド IdP へ切り替えるにあたり、Azure AD では「段階的なロールアウト」がサポートされており、きめ細かくパイロットしてから移行できます。
テストグループを指定し動作確認してから、段階的にユーザーを移行できます。
Azure AD Connect: 段階的なロールアウトを使用したクラウド認証 - Microsoft Entra | Microsoft Learn
2.フィッシング対策 MFA を徐々に適用
認証方法ポリシーでフィッシング耐性のない方法をなるべく減らすよう構成し、認証強度の設定によりアクセスレベルを制限します。
3.認可決定の一部としてデバイスシグナルを追加
Hybrid Azure AD Join を構成して、デバイスコンプライアンスパートナーと連携するように Intune を構成し、ハイブリッド/準拠デバイスを条件付きアクセスポリシーの構成に追加します。
Microsoft Intune のデバイス コンプライアンス パートナー | Microsoft Learn
Microsoft は、米国政府機関のお客様が 2024年9月の期限までに EO 14028 の要件を満たすよう支援に注力しており、移行を容易にしゼロトラストの目標を達成する機能がさらに用意されています。
覚書 22-09 の ID に関する要件の概要 - Microsoft Entra | Microsoft Learn
