DoD ゼロ トラスト戦略とロードマップでは、国防総省のコンポーネントと防衛産業基盤 (DIB) パートナーがゼロ トラスト原則に基づいて新しいサイバーセキュリティ フレームワークを採用するための道筋が示されています。 ゼロ トラストは、従来の境界と信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト Capability Execution ロードマップの 152 ゼロ トラスト アクティビティに関する推奨事項があります。 セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応しています。
ガイドの各セクションに移動するには次のリンクを使用してください。
- はじめに
- ユーザー
- デバイス
- アプリケーションとワークロード
- データ
- ネットワーク
- 自動化とオーケストレーション
- 可視性と分析
1 ユーザー
このセクションには、ユーザーの柱における DoD ゼロ トラスト アクティビティに関する Microsoft のガイダンスと推奨事項が記載されています。 詳細については、「
1.1 ユーザー インベントリ
Microsoft Entra IDは、Microsoft クラウド サービスに必要な ID プラットフォームです。 Microsoft Entra IDは、マルチクラウド ID とハイブリッド ID をサポートする ID プロバイダー (IdP) およびガバナンス プラットフォームです。 Microsoft Entra IDを使用して、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、Oracle Cloud Infrastructure (OCI) などの Microsoft 以外のクラウドへのアクセスを管理できます。 Microsoft Entra IDでは標準 ID プロトコルが使用されるため、サービスとしてのソフトウェア (SaaS)、最新の Web アプリケーション、デスクトップおよびモバイル アプリ、従来のオンプレミス アプリケーションにも適した IdP になります。
Microsoft Entra IDを使用して、ユーザーと非個人エンティティ (NPE) を確認し、アプリとデータへのアクセスを継続的に承認し、最小限の特権の原則に従って ID とその権利を管理し、Just-In-Time (JIT) 管理を実行します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.1.1 インベントリ ユーザーDoD 組織は、必要に応じてユーザー インベントリの手動による確立および更新を行ない、後の段階での自動化されたアプローチに備えます。 IdP/ICAM によって一元管理され、なおかつシステム上でローカルに管理されるアカウントが識別され、インベントリされます。 今後の監査のために特権アカウントが特定されます。また、将来の移行や使用停止のために、アプリケーションとシステムにローカルな標準ユーザー アカウントと特権ユーザー アカウントの両方が識別されます。 結果:- マネージド通常ユーザーの識別- マネージド特権ユーザーの識別- 管理者アカウントと管理者以外のアカウントに対して独自のユーザー アカウント管理を使用したアプリケーションの識別 |
Microsoft Entra ID Microsoft Entra管理センターまたは Microsoft Graph API を使用して、組織内の正規ユーザーと特権ユーザーを識別します。 ユーザー アクティビティは、Microsoft Entra IDのサインインおよび監査ログで記録されます。これは、Microsoft Sentinelのようなセキュリティ情報イベント管理 (SIEM) システムと統合することができます。 - Microsoft Entra IDを採用する - Microsoft Graph API: ユーザー一覧 - Microsoft Entra アクティビティログの統合 Microsoft EntraのロールおよびAzureロール 特権ユーザーとは、Microsoft Entra IDロール、Azureロール、またはMicrosoft Entra IDセキュリティグループに割り当てられ、Microsoft 365やその他のアプリケーションへの特権アクセスが許可されるIDを指します。 クラウドのみのユーザーを使用して特権アクセスを行うことをお勧めします。 - 組み込みの役割 Microsoft Defender for Cloud Apps Defender for Cloud Apps を使用して、独自の ID ストアを使用して未承認のアプリを検出します。 - シャドウ ITを検出して管理します Microsoft Defender for Identity オンプレミスのActive Directory Domain Services環境のID資産インベントリを構築するためにMicrosoft Defender for Identity センサーをデプロイおよび構成します。 - Microsoft Defender for Identity の概要 - Microsoft Defender for Identity をデプロイします - 資産を調査します |
1.2 条件付きユーザー アクセス
Microsoft Entra IDは、組織が条件付きで動的なユーザー アクセスを実装するのに役立ちます。 この機能をサポートする機能には、Microsoft Entra条件付きアクセス、Microsoft Entra ID ガバナンス、カスタム ロール、動的セキュリティ グループ、アプリ ロール、カスタム セキュリティ属性などがあります。
条件付きアクセスは、Microsoft Entra IDのリアルタイム ゼロ トラスト ポリシー エンジンです。 条件付きアクセス ポリシーでは、ユーザー、デバイス、アプリケーション、セッション、リスクなどのセキュリティシグナルを使用して、Microsoft Entra IDによって保護されたリソースにアダプティブ動的承認を適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.2.1 アプリ ベースのアクセス許可をエンタープライズごとに実装する組織と連携する DoD エンタープライズは、認証と認可のためにユーザー属性の基本セットを確立します。 これらは、完全なエンタープライズ基準のために "エンタープライズ ID ライフサイクル管理パート 1" アクティビティ プロセスと統合されています。 エンタープライズ ID、資格情報、アクセス管理 (ICAM) ソリューションは、ソリューション内で属性を追加または更新するためのセルフサービス機能に対応しています。 残りの Privileged Access Management (PAM) アクティビティは、PAM ソリューションに完全に移行されます。 結果:- アプリケーション機能/データへのユーザー承認に必要なエンタープライズ ロール/属性が、エンタープライズ ICAMに登録される- DoD エンタープライズ ICAM に、アプリケーション所有者が属性を追加したり、既存のエンタープライズ属性を使用したりできるようにするセルフサービスの属性/ロール登録サービスが加わる- 特権アクティビティが PAM に完全に移行される |
Microsoft Entra Connect Microsoft Entra Connect を使用してハイブリッド ID を確立し、現在のディレクトリシステムのユーザー属性データを Microsoft Entra ID テナントに設定します。 - Microsoft Entra Connect Microsoft Entra アプリケーション アプリケーションを Microsoft Entra ID と統合します。 セキュリティ グループとアプリ ロールを使用して、アプリケーションの認可とアクセス許可のモデルを設計します。 アプリの管理を委任するには、アプリの構成を管理する所有者を割り当て、アプリ ロールの登録と割り当ても行います。 - アプリをMicrosoft Entra IDと統合する - 動的セキュリティ グループ - アプリケーション用のアプリ ロール Microsoft Entra ID ガバナンス ユーザーがアプリケーション ロールまたはグループへのアクセスを要求できるように、エンタイトルメント管理でアクセス パッケージを構成します。 - アプリへのアクセス権を管理する - アクセス パッケージ ガバナンスを委任する 条件付きアクセス Microsoft Entra ID によって保護されているアプリケーションとサービスに対する動的承認用の条件付きアクセス ポリシーを構成します。 条件付きアクセス ポリシーでは、カスタムセキュリティ属性とアプリケーションフィルターを使用して、アプリケーションオブジェクトに割り当てられたセキュリティ属性の認可範囲を設定します。たとえば、機密情報などです。 - 条件付きアクセス - カスタムセキュリティ属性 - アプリケーションフィルター 特権アイデンティティ管理 PIM Discovery と Insights を使用して特権ロールとグループを識別します。 PIM を使用して、検出された特権を管理し、ユーザーの割り当てを永続から対象に変換します。PIM の検出と分析情報 |
| 1.2.2 ルール ベースの動的アクセス パート 1DoD 組織では、"定期認証" アクティビティのルールを利用して、特権の動的な有効化および無効化のための基本ルールを構築します。 リスクの高いユーザー アカウントでは、PAM ソリューションを利用して、Just-In-Time アクセスと Just Enough-Administration メソッドを使用して動的特権アクセスに移行します。 結果:- アプリケーション/サービスの機能やデータへのアクセスが、適切なエンタープライズ属性を持つユーザーい限定される- 使用可能なすべてのアプリケーションが管理者ユーザーに対して JIT/JEA アクセス許可を使用する | - Microsoft Entra ロールの PIM - Azure ロールの PIM - グループの PIM |
| 1.2.3 ルール ベースの動的アクセス パート 2DoD 組織は、リリスクを考慮した動的アクセスの意思決定に関するルールの開発を拡大します。 動的アクセスに使用されるソリューションは、クロス柱Machine Learningと人工知能機能と統合され、自動化されたルール管理が可能になります。 結果:- コンポーネントとサービスが、アプリケーションとサービスへの動的アクセスを可能にするためにルールを十分に活用する- ルール ベースの動的アクセスに利用されるテクノロジが AI/ML ツールとの統合をサポートする |
Microsoft Entra ID 保護 Microsoft Entra ID 保護 では、機械学習 (ML) アルゴリズムを使用してユーザーとサインイン のリスクを検出します。 動的アクセスを実現するために、リスクレベルに基づいて条件付きアクセス ポリシーでリスク条件を使用します。 - Microsoft Entra ID 保護 - リスク検出 - リスクベースのアクセス ポリシー Microsoft Defender XDR Microsoft Defender XDR は、拡張検出および応答 (XDR) ソリューションです。 Microsoft Defender for Endpoint を展開し、Microsoft Defender for Cloud Apps を導入して統合を構成します。 - Defender for Endpoint の Defender for Cloud Apps との統合を構成する |
| 1.2.4 エンタープライズ ガバナンスのロールとアクセス許可パート 1DoD 組織は、残りのユーザーとグループ属性を、適切なエンタープライズ ID、資格情報、アクセス管理 (ICAM) ソリューションにフェデレーションします。 更新された属性セットは、組織が使用するユニバーサル ロールを作成するために使用されます。 ID プロバイダー (IdP) と ID、資格情報、アクセス管理 (ICAM) ソリューションのコア機能がクラウド サービスと環境に移行され、回復性とパフォーマンスの向上が可能になります。 結果:- コンポーネント属性とロール データ リポジトリがエンタープライズ ICAM にフェデレーションされる- クラウドベースのエンタープライズ IdP をクラウド アプリケーションとオンプレミス アプリケーションで使用できる- 標準化されたロールとアクセス許可のセットが作成され、属性に合わせて調整される |
Microsoft Entra ID Microsoft Entra ID は、マルチクラウドの一元的に管理される ID、資格情報、アクセス管理 (ICAM) プラットフォームおよび ID プロバイダー (IdP) です。 Microsoft Entra Connect を使用してハイブリッド ID を確立し、ディレクトリにユーザー データを設定します。Microsoft Entra ID とアプリケーションを統合し、動的セキュリティ グループ、アプリケーション ロール、カスタムセキュリティ属性を使用して、アプリケーションへのアクセスを管理します。レガシー認証プロトコルを使用するアプリケーションのために Microsoft Entra ID を使用するには、アプリケーション プロキシを展開および構成するか、セキュア ハイブリッド アクセス (SHA) パートナー ソリューションを統合します。 |
| 1.2.5 エンタープライズ ガバナンスのロールとアクセス許可パート 2DoD 組織は、ID プロバイダー (IdP) および ID、資格情報、アクセス管理 (ICAM) ソリューションの使用可能なすべての機能をクラウド環境に移行します。 エンクレーブ/DDIL 環境内のローカル機能は、切り離された環境での機能をサポートしますが、最終的には一元管理された ID、資格情報、アクセス管理 (ICAM) ソリューションによって管理されます。 更新されたロールの使用が必須になり、リスクベースのアプローチに従って例外がレビューされるようになりました。 結果:- コンポーネントの大半が、クラウド IdP 機能を利用し、可能な場合はオンプレミスの IdP 機能が使用停止になる- 属性を評価するときに、アクセス許可とロールの使用が義務付けられる |
Microsoft Entra アプリケーション 最新のアプリケーションをActive Directory フェデレーション サービス (AD FS) (AD FS) からMicrosoft Entra IDに移行し、AD FS インフラストラクチャを使用停止します。 - AD FS からアプリ認証をMicrosoft Entra IDに移行する Microsoft Entra アプリ プロビジョニング 残りの ICAM およびアプリケーション プロビジョニング プロセスをオンプレミスの ID 管理システムから Microsoft Entra ID に移行する。 - API 主導の受信プロビジョニング - アプリ プロビジョニング |
1.3 多要素認証
Microsoft Entra IDは、クラウドおよびハイブリッド (同期) ユーザーに対して、別の IdP とフェデレーションすることなく、DoD Common Access Cards (CAC) や Personal Identity Verification (PIV) などの証明書ベースの認証 (CBA) をサポートします。 Microsoft Entra IDでは、CBA、Windows Hello for Business、FIDO2 セキュリティ キー>パスキーなど、複数の業界標準多要素フィッシング耐性パスワードレス認証方法がサポートされています。
条件付きアクセス ポリシーを作成して認証強度を適用し、ユーザー、デバイス、リスク レベルを含む環境の条件に基づいてアクセスを動的に承認できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.3.1 組織の MFA/IDPDoD 組織は、一元化された ID プロバイダー (IdP) ソリューションと多要素 (MFA) ソリューションを調達および実装します。 IdP ソリューションと MFA ソリューションは、1 つのアプリケーションで組み合わせたり、必要に応じて分離したりできます (両方のソリューションで自動統合がサポートされていることが前提となります)。 IdP と MFA はどちらも、エンタープライズ PKI 機能との統合をサポートし、信頼されたルート証明機関によってキーの組に署名できるようにします。 ミッション/タスク クリティカルなアプリケーションとサービスでは、IdP と MFA ソリューションを使用してユーザーとグループを管理しています。 結果: - コンポーネントが重要なアプリケーション/サービスに対して MFA と共に IdP を使用する- コンポーネントが DoD PKI 多要素認証を有効にする ID プロバイダー (IdP) を実装した- 重要なサービスに対する組織標準化された PKI |
Microsoft Entra 認証方法 DoD PKI を使用して CBA Microsoft Entra構成します。 グローバル保護レベルを単一要素認証に設定します。 DoD PKI を多要素認証保護レベルとして識別するために、DoD 発行元 CA またはポリシー OID ごとにルールを作成します。 構成後、ユーザーは DoD CAC の認証を使用して Microsoft Entra ID にサインインします。 - Microsoft Entra ID 認証 - Microsoft Entra CBA - Configure CBA 段階的なロールアウト オンプレミスのフェデレーション サービスから Microsoft Entra CBA へのユーザー認証の移行に段階的ロールアウトを使用します。 Microsoft ガイダンスの1.2.4を参照してください。 Microsoft Entra の認証強度 "DoD CAC"という名前の新しい認証強度を作成します。 証明書ベースの認証 (多要素) を選びます。 DoD PKIの詳細オプションを構成し、証明書発行者を選択します。 - 認証の強度 - カスタム認証の強度 Microsoft Intune Microsoft Entraでは、モバイルデバイスで証明書を使用する方法として、派生資格情報(デバイス上の証明書)とハードウェアセキュリティキーの2つの方法がサポートされています。 マネージド モバイル デバイスで DoD PKI からの派生資格情報を使用するには、Intune を使用して DISA Purebred をデプロイします。派生資格情報 iOS デバイスでの CBA Android デバイスでの CBA |
| 1.3.2 代替フレキシブル MFA パート 1DoD 組織の ID プロバイダー (IdP) では、多要素認証の代替方法がサポートされており、サイバー セキュリティ要件 (FIPS 140-2、FIPS 197 など) に準拠しています。 代替トークンは、アプリケーションベースの認証に使用できます。 多要素オプションでは生体認証機能がサポートされており、セルフサービス アプローチを使用して管理できます。 可能な場合、多要素プロバイダーは、オンプレミスでホストされるのではなく、クラウド サービスに移動します。 結果:- IdP がユーザーのセルフサービス代替トークンを提供する- IdP がポリシーごとに承認されたアプリケーションに対して代替トークン MFA を提供する |
Microsoft Entra認証方法 Microsoft Entra認証方法を構成し、ユーザーがパスキー (FIDO2セキュリティキー) を登録できるようにします。 オプションの設定を使用して、FIPS 140-2 に準拠するキーのキー制限ポリシーを構成します。 パスワードレス セキュリティ キー サインイン 認証方法一時アクセス パスユーザーが CAC なしで代替パスワードレス認証子を登録するための一時アクセス パス (TAP) を構成します。 TAP の構成条件付きアクセス認証強度を必須にするために条件付きアクセス ポリシーを作成します。これは、セキュリティ情報登録のための DoD CAC です。 このポリシーでは、CAC で FIDO2 セキュリティ キーなどの他の認証子を登録する必要があります。 セキュリティ情報の登録1.3.1 の Microsoft ガイダンスを参照してください。 Windows Hello for Business サインインに PIN または生体認証ジェスチャを使用してWindows Hello for Business Windows使用します。 エンタープライズ提供のWindows デバイスのWindows Hello for Business登録には、デバイス管理ポリシーを使用します。 - Windows Hello for Business |
| 1.3.3 代替フレキシブル MFA パート 2代替トークンでは、"ユーザー アクティビティ モニタリング (UAM) やユーザー & エンティティ ビヘイビアー分析 (UEBA)" など複数の柱にまたがるアクティビティからのユーザー アクティビティ パターンを利用して、アクセスの意思決定を支援 (パターンの逸脱が発生した場合はアクセスを許可しないなど) を行ないます。 この機能は、生体認証が有効な代替トークンにもさらに拡張されています。 結果: - ユーザー アクティビティ パターンの実装 |
Microsoft Entra ID 保護 Microsoft Entra ID 保護 では、機械学習 (ML) と脅威インテリジェンスを使用して、危険なユーザーとサインイン イベントを検出します。 サインインおよびユーザー リスク条件を使用して、条件付きアクセス ポリシーをリスク レベルに設定します。 ベースラインの保護として、危険なサインインで MFA を必須にすることから始めます。 - Microsoft Entra ID 保護 ID 保護のデプロイ条件付きアクセスリスクの増加に応じてより強力な保護を必須にするために、付与とセッションの制御を使用する一連のリスクベースの条件付きアクセス ポリシーを作成します。 リスク ポリシーを構成して有効にする 条件付きアクセス:Session 条件付きアクセス:許可 リスクベースの条件付きアクセス ポリシーの例: 中程度のサインインリスク - 認証強度が必要: フィッシングに強い MFA - 準拠しているデバイスが必要 - サインインの頻度: 1 時間 高いサインインリスク - 認証強度が必要: フィッシングに強い MFA - 準拠しているデバイスが必要 - サインインの頻度: 毎回 高いユーザー リスク - 認証強度が必要: フィッシングに強い MFA - 準拠しているデバイスが必要 - サインイン頻度: 毎回 Microsoft Sentinel Sentinel 分析ルールとプレイブックを構成して、ユーザー リスクが高い場合に Entra ID Protection アラートのインシデントを作成します。 Sentinel 用の - Microsoft Entra ID 保護 コネクタ ユーザー:revokeSignInSessions |
1.4 特権アクセス管理
Microsoft Entra ID ガバナンスにより、Just-In-Time (JIT) 管理、エンタイトルメント管理、定期的なアクセス レビューなどの PAM 機能が有効になります。 Microsoft Entra Privileged Identity Management (PIM) は、組織内でのロールの割り当て方法を確認するのに役立ちます。 PIM を使用して、永続的なロールの割り当ての JIT の変換、ロールの割り当てとアクティブ化の要件のカスタマイズ、アクセス レビューのスケジュール設定を行います。
条件付きアクセスでは、特権アクセス用の認証強度、リスク レベル、および準拠している特権アクセス ワークステーション (PAW) デバイスが適用されます。 Microsoft Entra IDの管理アクションは、Microsoft Entra監査ログに記録されます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.4.1 システムの実装と特権ユーザーの移行パート 1 DoD 組織は、すべての重要な特権ユース ケースをサポートするために、Privileged Access Management (PAM) ソリューションを調達して実装します。 PAM ソリューションのサポートの状態を判断するために、アプリケーション/サービス統合ポイントが識別されます。 PAM ソリューションと簡単に統合できるアプリケーション/サービスは、静的および直接的な特権アクセス許可ではなくソリューションの使用に移行されます。 結果: - Privilege Access Management (PAM) ツールが実装される - PAM ツールをサポートする、およびサポートしないアプリケーションとデバイスの特定 - PAM をサポートするアプリケーションで、緊急/組み込みアカウントの制御に PAM を使用するようになる |
Privileged Identity Management PIM をデプロイして、Microsoft Entra IDロールとAzureロールを保護します。 PIM の検出と分析情報を使用して、特権ロールとグループを識別します。 PIM を使用して、検出された特権を管理し、ユーザーの割り当てを永続から対象に変換します。 PIM の概要 ロールの発見とインサイト - Azure resources Microsoft Intune Microsoft Entra、Microsoft 365、およびAzure管理用に Intune で管理された PAW を展開します。 特権アクセス戦略 条件付きアクセス 条件付きアクセス ポリシーを使用して、準拠しているデバイスを必須とします。 PAW を適用するには、条件付きアクセス準拠デバイス許可コントロールでデバイス フィルターを使用します。 デバイスのフィルター |
| 1.4.2 システムの実装と特権ユーザーの移行パート 2 DoD 組織は、サポートされている、およびサポートされていないアプリケーション/サービスのインベントリを利用して、特権アクセス管理 (PAM) ソリューションとの統合を行い、統合を拡張します。 PAM は、PAM ソリューションの対象範囲を最大化するために、より困難なアプリケーション/サービスと統合されています。 例外は、PAM ソリューションをサポートしていないアプリケーション/サービスの移行や使用停止を目的として、リスクベースの方法で管理されます。 結果: - 特権アクティビティが PAM に移行され、アクセスがフル マネージドになる |
Privileged Identity Management Microsoft Entra IDやAzureを超えて Just-In-Time (JIT) アクセスを拡張するには、グループの特権アクセス グループと PIM を使用します。 Microsoft Entra IDと統合されたMicrosoft以外のアプリケーションに対して、Microsoft 365、Microsoft Defender XDR、または特権ロール要求にマップされたセキュリティ グループを使用します。 ロール割り当て可能なグループ グループを PIM に取り込む アプリケーションへのユーザーとグループの割り当て Conditional Access 管理者がMicrosoft Entra IDで高い特権を必要とするアクションを実行するときに、保護されたアクションを使用して別の保護レイヤーを追加します。 たとえば、条件付きアクセス ポリシーとテナント間アクセス設定を管理します。 保護されたアクション アクティブなMicrosoft Entra ロール メンバーシップを持つユーザーの条件付きアクセス ポリシーを作成します。 認証強度が必要: フィッシングに強い MFA と準拠しているデバイス。 デバイス フィルターを使用して、準拠している PAW を要求します。 管理者に対して MFA を必須にする デバイスのフィルター |
| 1.4.3 リアルタイム承認と JIT/JEA 分析パート 1 必要な属性 (ユーザー、グループなど) の識別は自動化され、Privileged Access Management (PAM) ソリューションに統合されます。 特権アクセス要求は、自動化された承認と拒否のために PAM ソリューションに移行されます。 結果: - アカウント、アプリケーション、デバイス、(DoD のミッションに最大のリスクを及ぼす) 懸念のあるデータの識別 高リスクアカウントに JIT/JEA アクセスを適用するために、PAMツールを使用しました。 - 特権アクセス要求が必要に応じて自動化される |
Privileged Identity Mangement Microsoft Entra ロール、所有者やユーザー アクセス管理者などのAzureロール、特権セキュリティ グループなど、環境内のリスクの高いロールを識別します。 ロールのためのベストプラクティス 特権ロール 承認を要求するように PIM ロール設定を構成します。 - Azure リソース ロールの設定 - Microsoft Entra ロールの設定 グループ用の PIM の設定 Microsoft Entra ID ガバナンス アクセス パッケージを使用して、ロールの適格性のセキュリティ グループを管理します。 このメカニズムは、対象となる管理者を管理します。セルフサービスの要求、承認、ロールの適格性に関するアクセスレビューを追加し、ロールの適格性を確認します。 利用権管理 特権ロールにロール割り当て可能なグループを作成して、適格性の要求と承認を構成します。 特権ロールの資格がある管理者という名前のカタログを作成します。 ロール割り当て可能なグループをリソースとして追加します。 ロール割り当て可能なグループ リソースのカタログを作成して管理する "特権ロール資格管理者" カタログで、ロール割り当て可能なグループのアクセス パッケージを作成します。 ユーザーがエンタイトルメント管理の資格を要求するときに承認を要求するか、PIM でのアクティブ化時に承認を要求するか、その両方を選択できます。 アクセス パッケージ |
| 1.4.4 リアルタイム承認と JIT/JEA 分析パート 2 DoD 組織は、ユーザーとエンティティの行動分析 (UEBA) ソリューションとユーザー アクティビティ監視 (UAM) ソリューションを Privileged Access Management (PAM) ソリューションと統合し、意思決定のためのユーザー パターン分析を提供します。 結果: - UEBA または同様の分析システムと JIT/JEA アカウント承認用の PAM ツールの統合 |
条件付きアクセス 特権アクセスの認証コンテキストを定義します。 特権アクセス認証コンテキストを対象とする条件付きアクセス ポリシーを 1 つ以上作成します。 ポリシーでリスク条件を使用し、特権アクセスの付与とセッションの制御を適用します。 フィッシングに強い MFA、準拠している特権アクセス ワークステーションなど、認証強度を必須にすることをお勧めします。 認証コンテキストの構成 1.4.1 の Microsoft ガイダンスを参照してください。 サインイン リスクが高い場合に特権アクセスをブロックするには、特権アクセス認証コンテキストを対象とする条件付きアクセス ポリシーをさらに作成し、"サインイン リスク - 高" の条件を設定します。 ユーザー リスクが高いポリシーでこの手順を繰り返します。 ポリシーの展開 Privileged Identity Management 認証コンテキストを要求するように PIM ロール設定を構成します。 この設定では、ロールのアクティブ化のときに、選択した認証コンテキストに条件付きアクセス ポリシーが適用されます。 認証コンテキストを要求します |
1.5 ID フェデレーションとユーザーの資格証明
Microsoft Entra IDは、ID ライフサイクル管理 (ILM) で重要な役割を果たします。 Microsoft Entra テナントは、ハイパースケール クラウド ディレクトリ サービス、ID、資格情報とアクセス管理 (ICAM) ソリューション、ID プロバイダー (IdP) です。 ディレクトリ間プロビジョニングとアプリ プロビジョニングをサポートし、Microsoft Entra IDやその他のアプリの内部ユーザーのライフサイクルを管理します。
Microsoft Entra ID ガバナンス機能は、アプリ、Microsoft Teams、セキュリティ グループメンバーシップなどの権利のアクセス ライフサイクルを管理するのに役立ちます。 エンタイトルメント管理は、外部ゲストのオンボードと管理にも使用できます。 ゲスト ユーザーによる最後のアクセス パッケージが削除されたときには、アクセスをブロックしたり、そのユーザーのオブジェクトを削除したりできます。 組織で ILM 関数をMicrosoft Entra IDに移行する方法については、「クラウドへの移行を参照してください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.5.1 組織の ID ライフサイクル管理 DoD 組織は、特権ユーザーと標準ユーザーの両方のライフ サイクル管理プロセスを確立します。 プロセスは組織 ID プロバイダー (IdP) を使用して実装され、その後、最大数のユーザーに対して実施されます。 標準プロセスから外れるすべてのユーザーは、リスクベースの例外によって承認され、使用停止について定期的に評価されます。 結果: - 標準化された ID ライフサイクル プロセス |
Microsoft Entra ID ユーザー、管理者、外部ユーザー、アプリケーション ID(サービス プリンシパル)を含む ID のアカウント ライフサイクルを標準化します。 - アイデンティティ ライフサイクル管理 - アイデンティティとアクセス管理の運用 Microsoft Entra ID ガバナンス テナント内の特権ユーザーおよびアプリケーションのための定期的なアクセスレビューを確立する。 - アクセスレビュー |
| 1.5.2 エンタープライズ ID ライフサイクル管理パート 1DoD エンタープライズは組織と連携して、既存の ID ライフサイクル プロセス、ポリシー、標準をレビューおよび調整します。 最終的に合意されたポリシーとサポート プロセスが策定され、DoD 組織はこれに従います。 DoD 組織は、一元化またはフェデレーションされた ID プロバイダー (IdP) と ID およびアクセス管理 (IdAM) ソリューションを利用して、ID、グループ、アクセス許可の最大数に対してエンタープライズ ライフサイクル管理プロセスを実装します。 ポリシーの例外は、リスクベースの方法で管理されます。 結果:- ID ライフサイクル プロセスの自動化 - エンタープライズ ICAM プロセスおよびツールとの統合 |
Microsoft Entra ID 組織でActive Directoryを使用している場合は、Microsoft Entra Connect Sync または Microsoft Entra Cloud Sync を使用してユーザーをMicrosoft Entra IDに同期します。注: 特権Active Directory アカウントを同期せず、同期されたアカウントに特権クラウドロールを割り当てないでください。 - Connect Sync - Cloud Sync - Microsoft 365をオンプレミス攻撃から保護する - 攻撃対象領域を削減する Privileged Identity Management PIM を使用して管理アクセスを管理します。 特権Microsoft EntraおよびAzureロールのアクセスレビューのスケジュールを確立します。 - 特権アカウント Microsoft Entra認証方法 クラウドベースのフィッシングに強いMFA手法を使用します。 他のパスワードレス資格情報を登録するために、DoD Common Access Cards (CAC) を使用して Microsoft Entra の証明書ベース認証 (CBA) を設定します。 Microsoft ガイダンス (1.3.2) を参照してください。 |
| 1.5.3 エンタープライズ ID ライフサイクル管理パート 2DoD 組織は、エンタープライズの自動化と分析を可能にするため、エンタープライズ ライフサイクル管理プロセスに従って ID、資格情報、アクセス管理 (ICAM) ソリューションの重要な自動化機能の統合を進めます。 ID ライフサイクル管理のプライマリ プロセスは、クラウドベースのエンタープライズ ICAM ソリューションに統合されます。 結果:- 重要な IDM/IDP 関数との統合- プライマリ ILM 関数がクラウドベースになる |
Microsoft Entra ID ガバナンス エンタイトルメント管理とアクセス レビューを使用して、組織のユーザー アクセス ライフサイクルと外部ゲスト ID ライフサイクルを管理します。 |
| 1.5.4 エンタープライズ ID ライフサイクル管理パート 3DoD 組織は、残りの ID ライフサイクル管理プロセスを、エンタープライズ ID、資格情報、およびアクセス管理ソリューションと統合します。 エンクレーブ/DDIL 環境は、運用する権限がありますが、クラウド環境へのローカル コネクタを使用してエンタープライズ ICAM と統合します。 結果:- すべての ILM 関数が必要に応じてクラウドに移行する- すべての IDM/IDP 関数との統合 |
Microsoft Entra アプリ のプロビジョニング SCIM、SQL、LDAP、PowerShell、および Web サービス アプリケーションに ID を同期するには、Microsoft Entra アプリ プロビジョニングを使用します。 API駆動型アプリを使用して、異なるActive Directoryインスタンスにユーザーをプロビジョニングします。 - アプリのプロビジョニング - オンプレミスアプリのプロビジョニング - API駆動型プロビジョニングアプリ構成 |
1.6 行動、コンテキスト ID、生体認証
Microsoft Entra ID 保護は、機械学習 (ML) と脅威インテリジェンスを使用して、ID の脅威を検出、修復、防止するのに役立ちます。 この機能は、ユーザーのサインイン時のリアルタイム リスクと、時間の経過に伴って計算されるオフライン リスクを検出します。 リスクには、トークンの異常、異常なサインイン プロパティ、あり得ない移動、疑わしいユーザーの動作などがあります。
ID 保護はMicrosoft Defender XDRと統合され、Microsoft Defender製品ファミリの他のコンポーネントによって検出された ID リスクを示します。
詳細については、「リスク検出とは」をご覧ください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.6.1 ユーザーおよびエンティティのビヘイビアー分析(UEBA) とユーザー アクティビティ モニタリング (UAM) ツールを実装する。DoD 組織は、ユーザーおよびエンティティのビヘイビアー分析 (UEBA) ソリューションとユーザー アクティビティ モニタリング (UAM) ソリューションを、調達および実装します。 エンタープライズ IdP との初期統合ポイントが完了し、将来の意思決定での使用が可能になります。 結果:- UEBA と UAM の機能がエンタープライズ IDP 用に実装される |
Microsoft Entra ID 保護 Microsoft Entra ID 保護をデプロイして、ユーザーとサインイン イベントに対するリアルタイムおよびオフラインのリスクの拘束を取得します。 Microsoft Entra ワークロード ID を使用して、ID リスク検出をアプリケーション ID (サービス プリンシパル) に拡張する Workload Identities プレミアム エディション。 - 安全なワークロード ID - ワークロード ID のためのリスクベースのポリシー Microsoft のガイダンス「1.3.3。」を参照してください。 Microsoft Defender for Cloud Apps Defender for Cloud Apps を展開し、Microsoft Defender for Endpoint および外部ソリューションとの統合を構成します。 Defender for Cloud Apps で異常検出ポリシーを構成します。 - Defender for Endpoint と Defender for Cloud Apps を統合 - 外部ソリューションの統合 - UEBA で疑わしいユーザー アクティビティを検出 Microsoft Defender for Endpoint Defender for Endpoint にエンドポイントをオンボードします。 Defender for Endpoint と Microsoft Intune の統合を構成する。Defender for Endpoint とその他のソリューションの統合を構成します。Microsoft Intune と統合し、デバイス コンプライアンス ポリシーで Defender for Endpoint のデバイス リスク スコアを使用します。Defender for Endpoint ルールを定義し、条件付きアクセス ポリシーを作成して準拠デバイスを必要とします。 アクセスが許可される前に、コントロールには、Microsoft Intuneで準拠としてマークされたデバイスが必要です。 Defender for Endpoint と Intune の統合により、コンプライアンスの状態に基づいて、デバイスの正常性とリスク レベルの全体像が得られます。 - Intune 管理デバイスのルールを設定するためのコンプライアンス ポリシー Microsoft Sentinel Sentinel にデータ ソースを接続し、監査ログ、サインインログ、Azure アクティビティ、およびセキュリティ イベントに対して UEBA を有効にします。 - UEBA を有効化 - UEBA を使用した高度な脅威 |
| 1.6.2 ユーザー アクティビティ モニタリング パート 1DoD 組織は、ユーザーおよびエンティティのビヘイビアー分析 (UEBA) とユーザー アクティビティ モニタリング (UAM) ソリューションを、組織の ID プロバイダー (IdP) と統合し必要に応じて可視性を拡張します。 重要なアプリケーションとサービスのために UEBA と UAM によって生成された分析とデータは、Just-In-Time および Just-Enough-Access ソリューションと統合され、意思決定をさらに改善します。 結果: - UEBA が必要に応じて組織 IDP と統合される- UEBA が重要なサービスのために JIT/JEA と統合される |
Privileged Identity Management PIM をデプロイし、特権ロールをオンボードします。 特権アクセスの認証コンテキストを定義します。 認証コンテキストでリスク条件を使用し、有効化時に認証コンテキストを要求するように PIM ロール設定を構成します。 |
| 1.6.3 ユーザー アクティビティ モニタリング パート 2DoD 組織は、Just-In-Time および Just-Enough-Access ソリューションで意思決定が行われれた際に、モニター対象のすべてのアプリケーションとサービスに対して生成されたデータを使用して、ユーザーおよびエンティティのビヘイビアー分析 (UEBA) ソリューションとユーザー アクティビティ モニタリング (UAM) ソリューションからの分析結果を継続して使用します。 結果:- UEBA/エンティティ監視がすべてのサービスに対して JIT/JEA と統合される |
Privileged Identity Management グループの PIM を利用して、アプリケーション ロールを通じてアプリケーションへのジャストインタイム (JIT) アクセスを拡張します。 PIM によって管理されるグループを特権アプリ ロールに割り当てます。グループ用の PIMアプリにアプリ ロールを追加する |
1.7 最小限の特権アクセス
Microsoft Entra IDを使用するアプリケーションへのアクセスは、既定で拒否されます。 エンタイトルメント管理やアクセス レビューなどのMicrosoft Entra ID ガバナンス機能により、アクセスが期限付きで、最小限の特権の原則に準拠し、職務を分離するための制御が適用されます。
Microsoft Entra組み込みロールを使用して、タスクごとに最小限の特権のアクセス許可を割り当てます。 管理単位を使用すると、Microsoft Entra IDユーザーとデバイスのリソースベースのアクセス許可のスコープを設定できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.7.1 既定ポリシーによるユーザーの拒否DoD 組織は、内部ユーザーとグループのアクセス許可の使用を監査し、可能な場合はアクセス許可を取り消します。 このアクティビティには、アプリケーション/サービス ベースの ID とグループに対する過剰なアクセス許可とアクセスの失効や使用停止が含まれます。 可能な場合、今後のルール/動的ベースのアクセスに対する準備として、静的特権ユーザーは使用停止になるか、アクセス許可が削減されます。 結果:- アクセスに特定のロール/属性を必要とする関数/データに対して、アプリケーションが "既定で拒否" に更新される- 既定のアクセス許可レベルが下げて実装される- アプリケーション/サービスが、すべての特権ユーザーをレビュー/監査し、そのレベルのアクセス権を必要としないユーザーを削除する |
Microsoft Entra ID Microsoft Entra IDの既定のユーザーとゲストのアクセス許可を表示および制限します。 アプリケーションへのユーザーの同意を制限し、組織の現在の同意を確認します。 - 既定のユーザーアクセス許可 - Microsoft Entra アプリケーション Microsoft Entraアクセスは既定で拒否されます。 Microsoft Entra IDエンタイトルメントを検証し、条件付きアクセス ポリシーを適用して、リソース アクセスを承認します。 - Integrate apps - App integration Microsoft Entra ID ガバナンス エンタイトルメント管理 ID ガバナンス機能を使用して、ID とアクセスのライフサイクルを管理します。 自動アクセス要求ワークフロー、アクセスの割り当て、レビュー、期限切れを探すことができます。 - 権利管理 - アクセスレビュー カスタムロール Microsoft Entra ID の組み込みロールを使用してリソースを管理します。 ただし、ロールが組織のニーズを満たしていない場合や、管理ユーザーの特権を最小限に抑える場合は、カスタム ロールを作成します。 カスタムロールに、ユーザー、グループ、デバイス、アプリケーションなどを管理するためのきめ細かい権限を付与します。 - カスタムロール 管理単位 管理単位は、ユーザー、グループ、デバイスなどの他のMicrosoft Entra リソースを含むMicrosoft Entra リソースです。 管理単位を使用して、組織構造に基づいて管理者のサブセットにアクセス許可を委任します。管理単位制限付き管理単位管理単位を作成または削除する特権 ID 管理PIM の検出と分析情報を使用して特権を管理し、管理者の数を減らします。 PIM外で特権役割が割り当てられた場合にPIMアラートを構成します。 - ハイブリッドおよびクラウドの特権アクセス - Microsoft Entra役割のセキュリティアラート - Azure役割のセキュリティアラート Microsoft Defender for Cloud Apps アプリケーションに付与されたアクセス許可をレビューする。 Defender for Cloud Apps で危険な OAuth アプリケーションを調査します。 - アプリに付与された権限を確認する - 危険な OAuth アプリケーションを調査する Microsoft Sentinel PIM を使用して Azure Sentinel にアクセスするための Azure ロールを割り当て、定期的にクエリとアクティビティを監査します。 - クエリとアクティビティを監査する |
1.8 継続的認証
Microsoft Entra IDでは、有効期間の短いトークンと有効期間の長いトークンを使用して、Microsoft Entraが保護するアプリケーションやサービスに対してユーザーを定期的に認証します。 Microsoft Entra IDには、標準プロトコルを改善するための継続的アクセス評価 (CAE) メカニズムがあります。 ポリシー エンジンは、ほぼリアルタイムで環境の変化に対応し、アダプティブ アクセス ポリシーを適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.8.1 単一認証DoD 組織では、基本認証プロセスを使って、セッションごとに少なくとも 1 回、ユーザーと NPE を認証します (ログオンなど)。 重要な点として、認証されるユーザーは、"組織の MFA/IDP" と (アプリケーション/サービスベースの ID とグループではなく) 組織 ID プロバイダー (IdP) を使用した並列アクティビティによって管理されます。 結果:- 認証がセッションごとにアプリケーション間で実装される |
Microsoft Entra ID Microsoft Entra ID は、組織が使用する Microsoft クラウド アプリケーションとアプリケーション間のシングル サインオン (SSO) を容易にする一元化された ID プロバイダー (IdP) です。 - Microsoft Entra ID Single sign-on シングル サインオン (SSO) 認証方法を使用すると、ユーザーはMicrosoft Entra ID資格情報を使用してアプリケーションとサービスを認証できます。 これらのアプリには、SaaS、カスタムの基幹業務アプリケーション、オンプレミス アプリケーションなどがあります。 Microsoft Entra認証とゼロ トラスト機能を使用して、アプリケーションに安全かつ簡単にアクセスできるようにします。 - SSOとは何ですか? - Microsoft Entraの認証プロトコルとの統合 Microsoft Entraアプリケーションプロビジョニング Microsoft Entra アプリケーションプロビジョニングは、SaaSアプリケーションやカスタムまたはオンプレミスアプリケーションで、ユーザー、ロール、グループを作成、更新、削除します。 アプリの一元化された ID ソースとしてMicrosoft Entra IDを使用します。 アプリケーションまたはサービスの ID とユーザーを最小限に抑えます。 - 自動プロビジョニング - アプリ プロビジョニング Microsoft Entra ID Workload Service Principals とマネージド ID は、Microsoft Entra の非ユーザー エンティティ (NPE) ID です。 サービス プリンシパルを使用して、Microsoft Entra ID によって保護された API への自動(非対話型)アクセスを行います。 - ワークロード アイデンティティ - Microsoft Entra ID のサービス プリンシパル |
| 1.8.2 定期的な認証DoD 組織は、アプリケーションとサービスの定期認証要件を有効にします。 従来、これらは期間や期間のタイムアウトに基づいていますが、他の期間ベースの分析を使用して、ユーザー セッションの再認証を要求できます。 結果:- セキュリティ属性に基づいてセッションごとに複数回認証が実装される |
Microsoft Entra アプリケーション Microsoft Entra アプリケーションは、ユーザー操作なしでセッションの更新を自動的に管理します。 Microsoft のガイダンス 1.8.1.> を参照してください。 Conditional Access 条件付きアクセスで sign-in frequency セッション制御を構成するユーザー セッションを再認証します。 この機能は、サインインが危険な場合、またはユーザー デバイスが管理されていないか、非準拠である場合に使用します。認証セッション管理を構成するDefender for Cloud Apps のアクセス ポリシー |
| 1.8.3 継続的認証 パート 1DoD 組織のアプリケーションとサービスは、セキュリティ属性および要求されたアクセスに基づいて、複数のセッション認証を利用します。 特権の変更と関連付けトランザクション要求には、ユーザーへの多要素認証 (MFA) プッシュなどの追加の認証レベルが必要でした。 結果:- セキュリティ属性に基づいてセッションごとにトランザクション認証が実装される | 継続的アクセス評価CAE は、時間ベースのトークンの有効期限と更新メカニズムを向上させ、ポリシー違反に対するタイムリーな応答を実現する OpenID 標準に基づいています。 CAE では、信頼できるネットワークの場所から信頼されていないネットワークの場所にユーザーが移動するなどの重要なイベントに応答する新しいアクセス トークンが必要です。 クライアント アプリケーションとバックエンド サービス API を使用して CAE を実装します。 - 継続的アクセス評価 - 重要イベント評価 Microsoft Office アプリケーションは、Microsoft Graph API、Outlook Online API、SharePoint Online API を使用して CAE をサポートします。 最新の Microsoft 認証ライブラリ (MSAL) を使用して、CAE 対応 API にアクセスするアプリケーションを開発します。 - CAE for Microsoft 365 - アプリ内の CAE 対応 API 条件付きアクセス 条件付きアクセス認証コンテキストを定義および使用して、機密性の高い SharePoint サイト、Microsoft Teams、Microsoft Defender for Cloud Apps 保護アプリケーション、PIM ロールのアクティベーション、およびカスタムアプリケーションを保護します。 - 認証コンテキスト - SharePoint サイトと OneDrive のポリシー - Defender for Cloud Apps のセッション ポリシー - PIM ロールには認証コンテキストが必要 - 認証コンテキストのガイダンス 管理者が Microsoft Entra ID で条件付きアクセス ポリシーやテナント間アクセス設定を管理するなど、高い特権が必要な操作を行う際に、保護されたアクションを用いて追加の保護層を提供します。 セキュリティ情報の登録やデバイスの参加などのアクションを保護する - 保護されたアクション - 対象リソース に関して、 特権アイデンティティ管理 はPIMロールのアクティベーションに認証コンテキストを要求します。 詳細はMicrosoftのガイダンス1.4.4を参照してください。 |
| 1.8.4 継続的認証パート 2DoD 組織は、トランザクションベースの認証の使用を継続して、ユーザー パターンなどの統合を含めます。 結果:- ユーザー パターンなどのセキュリティ属性に基づいてセッションごとにトランザクション認証が実装される |
Microsoft Entra ID 保護 異常、疑わしい、または危険な動作を検出Microsoft Entra ID 保護、ユーザー のリスク レベルが上がります。 リスク条件を使用して条件付きアクセス ポリシーを作成し、リスク レベルによる保護を強化します。リスク検出1.3.3 のMicrosoft ガイダンスを参照してください。継続的アクセス評価リスク レベルを引き上げることは、CAE イベントとしてはクリティカルです。 CAE を実装するサービス (Exchange Online API など) では、クライアント (Outlook) が次のトランザクションに対して再認証を行う必要があります。 条件付きアクセス ポリシーがリスク レベルの増加を満たすと、Microsoft Entra IDがExchange Onlineのアクセス用に新しいアクセス トークンを発行します。 - 重要なイベント評価 |
1.9 統合 ICAM プラットフォーム
Microsoft Entra IDでは、ユーザーエンティティと非個人エンティティ (NPE) の外部公開キー 基盤 (PKI) によって発行された証明書による証明書認証がサポートされます。 Microsoft Entra IDの NPEs は、アプリケーション ID とデバイス ID です。 Microsoft Entra 外部 IDテナント間のアクセス設定は、DoD などのマルチテナント組織がテナント間でシームレスに共同作業を行うのに役立ちます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 1.9.1 Enterprise PKI/IDP パート 1DoD エンタープライズ は組織と連携して、エンタープライズ公開キー 基盤 (PKI) および ID プロバイダー (IDP) ソリューションを、一元的かつフェデレーションされた手法で実装します。 エンタープライズ PKI ソリューションは、組織が信頼できる単一または一連のエンタープライズレベルのルート証明機関(CA)を利用し、それを基に中間 CA を構築することができます。 ID プロバイダー ソリューションは、1 つのソリューション、または組織全体の標準レベルのアクセス権と標準化された属性のセットを持つ組織 IDP のフェデレーション セットのいずれかである場合があります。 組織 IDP と PKI 証明機関は、エンタープライズ IdP および PKI ソリューションと統合されています。 結果:- コンポーネントが、すべてのアプリケーション/サービスに対して MFA で IdP を使用する- 組織の MFA/PKI とエンタープライズ MFA/PKI との統合- すべてのサービスに対して組織で標準化された PKI |
Microsoft Entra ID認証方法 ユーザー認証方法を制御するには、Microsoft Entra IDの認証方法ポリシーを使用します。 - Microsoft Entra CBA 1.3.1のMicrosoftのガイダンスを参照してください。 認証強度 認証強度を使用してユーザーのリソースへのアクセスを制御します。 - 認証強度 Microsoft Entra 外部 ID DoD Microsoft Entra IDテナントのクロステナントアクセスを構成します。 信頼設定を使用して、信頼できる DoD テナントからの外部 ID に対して MFA と準拠しているデバイス要求を受け入れます。テナント間アクセスアプリケーション管理ポリシーテナント アプリ管理ポリシーは、テナント内のアプリケーションのセキュリティに関するベスト プラクティスを実装するためのフレームワークです。 ポリシーを使用して、信頼できる PKI によって発行された証明書にアプリケーション資格情報を制限します。信頼の証明書チェーンを作成するには、エンタープライズ PKI の中間 CA 証明書とルート CA 証明書に新しい証明機関 (CA) コレクションを追加します。certificateBasedApplicationConfiguration リソースの種類信頼できる CA によって発行された証明書を要求するアプリケーション管理ポリシーを作成するには、passwordAddition を禁止し、trustedCertificateauthority を必要とするように制限を構成します。 作成した信頼できる CA コレクション ID を指定します。 |
| 1.9.2 エンタープライズ PKI/IDP パート 2必要に応じて DoD 組織は、ミッションおよびタスク クリティカルなアプリケーションとサービスに対して、ID プロバイダー (IDP) の生体認証サポートを有効にします。 生体認証機能は、組織のソリューションから企業に移行されます。 組織の多要素 (MFA) と公開キー基盤 (PKI) は使用停止され、必要に応じてエンタープライズに移行されます。 結果:- 重要な組織サービスと生体認証の統合- エンタープライズ MFA/PKI の代わりに組織の MFA/PKI を適切に使用停止する- エンタープライズ生体認証関数の実装 |
Microsoft Entra ID Microsoft は、Microsoft Entra ID 認証に互換性のある複数のコンポーネントで生体認証をサポートしています。 認証方法 Microsoft Entra ID は、プレゼンスまたは指紋を使用するハードウェアパスキー(FIDO2 セキュリティキー)をサポートしています。 - FIDO セキュリティキー Windows Hello for Business Windows Hello for Business は、指紋や顔認証などの生体ジェスチャーを使用します。 - アイデンティティ保護プロファイル設定 MacOS MacOS デバイスは、Touch ID などの生体認証を備えており、デバイスに紐づけられた資格情報でサインインできます。 - Apple デバイス用の SSO プラグイン Microsoft Authenticator モバイルデバイスと Authenticator は、パスワードレス認証にタッチと顔認証を使用します。 パスキーのサポートは、Authenticator のもう 1 つのフィッシングに強い認証方法です。Authenticatorパスワードレス サインイン強化されたフィッシングに強い認証 |
| 1.9.3 エンタープライズ PKI/IDP Pt3DoD 組織は、残りのアプリケーション/サービスと生体認証機能を統合します。 代替多要素 (MFA) トークンを使用できます。 結果:- すべての組織サービスが生体認証と統合 |
Microsoft Entra 確認済み ID 検証済み ID を使用した識別シナリオでは、資格情報の提示時に顔認証が必要な場合があります。 Verfied ID顔チェック |
次のステップ
DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。
- はじめに
- ユーザー
- デバイス
- アプリケーションとワークロード
- データ
- ネットワーク
- 自動化とオーケストレーション
- 可視性と分析