Microsoft 365

多要素認証 (MFA) 必須化! 緊急アクセス用管理者アカウントのことを考えてみた

  • 2024.09.02

2024年1015日以降、Microsoft Azure ポータル、Microsoft Entra 管理センター、Microsoft Intune 管理センターへのアクセス時に多要素認証 (MFA) の利用が義務付けられます。緊急アクセス用管理者アカウントを用意している場合にも、もれなく MFA の対象となるため対応が必要です。

緊急アクセス用管理者アカウントとは

緊急アクセス用管理者アカウント (BreakGlass アカウント) とは、普段は利用せずに非常時のみ利用する個人アカウントに紐づかない管理者アカウントのことです。
※ 詳細は以前書かせていただいた Micrsoft 365 に緊急アクセス用管理者アカウントを準備するをご覧ください。

緊急時にすぐに利用できるように、今までは MFA は設定非推奨でしたが、今回 Update により MFA の利用が義務化されました。

緊急アクセス用管理者アカウントの MFA

Microsoft 365 の MFA には、電話 (音声、SMS)Microsoft Authenticator アプリケーション、ハードウェア トークンなど、さまざまな方法が利用できますが、認証強度が 「Best(高い)」 のものを利用することが推奨されています。特に緊急アクセス用管理者アカウントは、Microsoft 365 管理者の役割を持つことになるため、不正利用を防ぐためにも 「Best」 の認証方法の採用をおすすめします。

Best」 の認証は パスワードレス認証となります。ユーザーアカウントやパスワードの入力が不要になるだけでなく、SMS やトークン コードの入力などの MFA と比べて、安全な認証を実現できます。


出典:Microsoft Entra ID で使用できる認証方法と検証方法

加えて、緊急アクセス用管理者アカウントの MFA は、緊急時に必ず利用できるように用意しておきたいため、懸念点を洗い出して精査することも重要です。

認証方式  緊急アクセス用管理者アカウントにて利用時の懸念点
SMS
  • SMS を受信する携帯電話が必要
  • 電話番号の契約が必要
  • 携帯電話が充電済みであること
  • 携帯電話の管理方法はどうするの??
Voice (電話音声) 【携帯電話の場合】

  • 携帯電話と電話番号の契約が必要
  • 携帯電話が充電済みであること
  • 携帯電話の管理方法はどうするの?

【会社電話の場合】

  • 別の社員が電話に出る可能性がある
  • 会社にいる必要がある
Authenticator
  • Microsoft Authenticator アプリをインストールする携帯電話が必要
  • 携帯電話が充電済みであること
  • 携帯電話がインターネットに接続できること
  • 携帯電話の管理方法はどうするの??
Software Tokens OTP
  • ソフトウェア トークンを利用するデバイス (携帯電話など) の準備
  • ソフトウェア トークン デバイスが充電済みであること
  • ソフトウェア トークン デバイスがインターネットに接続できること
Hardware Tokens OTP
  • 電池が切れていたらどうする?
Authenticator
(Phone Sign-in)
  • Microsoft Authenticator アプリをインストールする携帯電話が必要
  • 携帯電話が充電済みであること
  • インターネットに接続できること
  • 携帯電話の管理方法はどうするのか
Windows Hello
  • Windows Hello を有効にしたデバイスが必要
  • Windows Hello の生体認証に登録したユーザーしか解除できない
FIDO2 security key
  • 暗証番号の登録が必要
Certificates
(証明書)
  • デバイスに証明書のインストールが必要

最後に

これらを考慮すると、緊急アクセス用管理者アカウントは 「FIDO2 Security Key」 の利用がよいのでは? と私は考えてます。
皆さんが MFA 対応される場合の参考になればと思います。

実際に社内の緊急アクセスアカウントに設定してみましたので、次回は FIDO2 セキュリティ キーを利用した MFA 設定方法を備忘録としてご紹介します。

関連コース

  • CI505-H Microsoft 365 運用管理
    Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。
  • CI509-H Microsoft 365 デバイス運用管理
    IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。iPhone を使用した実習を行い、モバイル デバイスの管理方法について実際の挙動を確認しながら、さまざまな機能を理解。
  • CI506-H Microsoft 365 運用管理 – 情報保護編
    Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
  • CI508-H Microsoft 365 PowerShell による管理効率化
    Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する