03-5946-8400
HOME
目次
Entra IDパスワードポリシーとは、Microsoft Entra製品群のアクセス管理における重要な要素です。Entra IDパスワードポリシーの概要、機能、設定、管理方法、パスワードレス認証についてポイントを解説
組織的なパスワードの強度、有効期間、再利用期限などを一元的に管理し、様々な認証方法に対応することができる Microsoft Entra IDパスワードポリシー機能(以下、パスワードポリシー)が注目を集めています。
本記事ではパスワードポリシーについて基本機能や設定方法、運用管理方法について解説します。
1. Microsoft Entra IDのパスワードポリシーとは
Microsoft Entra ID は、 Azure Active Directory の新ブランド名で、ディレクトリサービス、アプリケーションのアクセス管理機能、 ID の保護機能を一つのソリューションに統合したクラウドベースの ID 管理サービスです。デバイスやロケーションの多様化に対して、安全なアクセスを構築するための基盤を提供します。
パスワードポリシーの主な機能を紹介します。パスワードの複雑さ、長さ、有効期間の設定
パスワードの強度を確保するために、特定の種類の文字を含む必要がある、最小限の長さが必要である、など特定の要件を設定できます。また、パスワードの有効期間を設定して、定期的にパスワードを変更することを強制することもできます。
図版出典:Microsoft公式サイト
パスワード保護
パスワードポリシーには、既定のグローバル禁止パスワードリストがあり、これは全てのユーザーに自動的に適用されます。これにより、一般的に脆弱なパスワードが使用されることを防止します。この既定のグローバル禁止パスワードリストを編集することはできませんが、組織固有の用語を追加できます。
- ※1 参考記事:
- カスタムの禁止パスワードの一覧
セルフサービスパスワードリセット
ユーザーが自分のパスワードを忘れてしまった場合に備え、セルフサービスのパスワードリセット機能が提供されます。セルフサービスパスワードリセットの通称として「 SSPR 」と呼ばれます。
SSPR は、ユーザーが自分自身のパスワードをリセットしたり、ロックされたアカウントを解除したりすることができる機能です。この機能は、ユーザーの利便性を向上させるだけでなく、管理者の負荷を軽減します。
2. パスワードポリシーの設定・管理方法について
本章ではパスワードポリシー機能を利用した代表的な設定方法について解説します。詳細の設定方法についてはMicrosoft公式ドキュメトを参照することを推奨します。
パスワードの有効期限ポリシーを設定する方法
パスワードポリシーの基本機能である有効期限のポリシーを編集する方法です。
②組織の設定タブからパスワード有効期限ポリシーページに移動します。
③パスワードポリシーを変更するために、チェックボックスのチェックを外します。
④パスワードが何日後に期限切れになるべきかを入力します。14日から730日までの間で選択し、設定を保存します。デフォルト設定では90日、14日前に通知の設定となります。
図版出典:Japan Azure Identity Support Blog
パスワードを無期限に設定する方法
システム用アカウントなどにおいては、パスワードを無期限に設定したいケースも存在します。その場合、「指定した日数の経過後にユーザーのパスワードの有効期限を設定する」のチェックを外すことで、無期限設定が可能です。
図版出典:Japan Azure Identity Support Blog
これらの設定はMicrosoft クラウドサービスであるMicrosoft Graph Powershell を使用しての設定も可能です。Microsoft公式ドキュメトを参照することを推奨します。
- ※3 参考記事:
- 個別のユーザーのパスワードを無期限に設定する
セルフサービスパスワードリセット(SSPR)を管理者が有効化する方法
SSPRでは、あらかじめ管理者が機能を有効にする必要があります。
②組織( Org Setting )の設定タブに移動し「セキュリティ & プライバシー」( Security & Privacy )タブを選択します。
③「セルフサービスによるパスワードリセット」( Self-Service Password Reset )をクリックします。
- ※4 参考記事:
- ユーザーが自分でパスワードをリセットできるようにする
ユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行する方法
SSPRが有効化された状態でユーザーがパスワードをリセットする手順を解説します。
③「パスワードを忘れた」を選択し、「次へ」をクリックします。
注意点
パスワードポリシーや SSRP の設定編集は、管理者アカウントでログインする必要があります。またライセンスによって対応できる範囲が異なるので注意が必要です。パスワードポリシーは、設定の適用として Microsoft Entra ID 上に直接作成されたユーザーに対してのみ適用されます。
オンプレミスの Active Directory から同期しているユーザーには適用させるためには、Microsoft 365 Business Premium 、 Microsoft Entra ID P1 または P2 ライセンスが必要となります。
図版出典:Microsoft公式サイト
3. パスワードレス認証のオプションとは
パスワードレス認証とは、ユーザーが自身を認証するためにパスワードを使わない方式です。従来の ID とパスワードによる認証方式ではなく、別の方法を用いてユーザーの身元を確認します。
Microsoft はパスワードレス認証の手段として、 Microsoft Authenticator 、 FIDO2 セキュリティキー、Windows Hello 、 SMS や電子メールによる一時コードなどが提供されています。
メリット・デメリットは以下のとおりです。
メリット
ユーザーが複雑なパスワードを覚える必要がなく、また定期的にパスワードを変更する手間が省けます。またパスワードを使わないため、パスワードに関連するセキュリティリスク(パスワードの盗難、リスト攻撃、フィッシングなど)が大幅に軽減されます。
デメリット
初期設定やユーザーの教育が必要であり、特に大規模な組織ではこれに時間とリソースを要する場合があります。パスワードレス認証を支えるデバイスや技術(スマートフォン、セキュリティキー、バイオメトリクスなど)がない場合、ユーザーがログインできなくなる可能性があります。
4. まとめ
本記事では、パスワードポリシーについて機能、使い方、関連するパスワードレス認証について解説しました。パスワードポリシーはセキュリティ対策の基本であり、重要なファクターです。しかしながら運用の煩わしさなどから課題も多いのが現状です。
またパスワードレス認証の導入は、セキュリティリスクを大幅に軽減することができますが、実装と管理には新たな課題が伴います。セキュリティ対策とユーザーエクスペリエンスのバランスを考慮したシステムの導入を検討することをお勧めいたします。
Azure の導入を相談したい
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。
Tag: Microsoft Entra ID セキュリティ
よく読まれる記事
- 1 Visual Studio Code とは?柔軟で効率的なアプリ開発の方法と、Visual Studio との違いを解説2023.05.23
- 2 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 3 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 4 Microsoft Entra IDとは? オンプレAD、Azure ADとの違いや機能、エディション、移行方法をわかりやすく解説2024.04.05
- 5 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。