Ignite での Microsoft Entra に関する発表のブログ投稿を読んで。
Identity at Microsoft Ignite: Securing access in the era of AI - Microsoft Community Hub
- Microsoft Entra + Security Copilot
- Security Service Edge(SSE)ソリューション
- 条件付きアクセスの自動ロールアウト
- より堅牢な権限管理のための統合
Microsoft Entra 管理センターにも、Security Copilot が組み込まれるようで、会話形式で条件付きアクセスポリシーの機能を聞いたり、ユーザーがサインインできなかった理由などのトラブルシューティングを行えるとあります。
これが活用できると、設定上のメニュー内容でよく分からない項目を聞いて、別途オンラインドキュメントを検索して調べに行く時間を短縮できるかもしれませんし、トラブルシューティングも別画面でログを検索したりする手間が省けそうに思います。
運用上の作業効率が上がりそうなので大いに期待できそうです。
SSE ソリューションとして公開されている Microsoft Entra Internet Access と Microsoft Entra Private Access については、やはり、条件付きアクセスにネットワーク状態も加えて統合できる所が強みの1つです。
Internet Access については、パブリックプレビューを拡張して 2023年末までにすべてのインターネットアプリとリソースに新しいコア機能を含める、とあるので、機能的なインプリメントがされるようですね。
- Webコンテンツフィルタリングを備えた Context-aware SWG
- 外部Webサイトなど任意のネットワーク先に適応した、ユニバーサル条件付きアクセス
- コンプライアントに準拠したネットワークかのチェック
- ID Protection と条件付きアクセスの場所ポリシーで元のソース IP を維持
Private Access については、プライベートプレビューの新機能として、
SSE ソリューションは現在、中国とロシアを除く全世界で利用可能とされています。
条件付きアクセスポリシーの自動ロールアウトについては、昨年、Microsoft は既存の約 700万のテナントに対し、Microsoft Entra(旧 Azure AD)のセキュリティ既定値群を有効化して 80%の侵害をカットしており、条件付きアクセスポリシーにおいても「Microsoft マネージド 条件付きアクセスポリシー」が展開されています。
これは3つのポリシーから開始されます。
- 管理ポータルへのアクセスに多要素認証を必須
- 「ユーザーごとの MFA」機能利用者に多要素認証を必須
- リスクの高いサインインに多要素認証を要求
これらの詳細については、以下の Microsoft の日本語ブログに分かり易い説明が掲載されています。
Microsoft マネージド条件付きアクセス ポリシー | Japan Azure Identity Support Blog
また、Windows 11 以降のパスキーのサポートについて述べられており、Microsoft Authenticator アプリで管理されるパスキーを使用してのサインインが紹介されています。
さらに、ID Protection で異常検出された場合に条件付きアクセスではトークンを期限切れにして再認証を強制できることや、オンプレミスで AD DS のパスワード変更した場合に ID Protection のリスクステータスが修復されるよう改善されたことも述べられています。
これに関しては、私の以前の投稿で少し説明しています。
オンプレミスのパスワード変更を、ユーザーリスク修復に反映する - tos-akibaのブログ
最期に、Microsoft Entra Permissions Management の2つの統合について。
1つは、Microsoft Defender for Cloud との統合プレビューで、ID とアクセス許可の分析情報が、Azure、AWS、GCP のクラウドセキュリティ情報と1つの画面に統合して表示されます。
2つ目は、ServiceNow とのアクセス許可要求の連携です。
