Microsoft Azure AD 認証がアップデート:期限付きパスコードの提供で高まる柔軟性

Microsoft updates Azure AD with support for temporary passcodes

2022/07/01 BleepingComputer — Azure Active Directory (Azure AD) の管理者による、期限付きのパスコードの発行が可能になった。このパスコードは、パスワードレス認証での新規登録や、Windows オンボーディング時において、また、認証情報や FIDO2 キー紛失などのアカウント復旧においても利用できる。 Microsoft は TAP (Temporary Access Pass) と表現しているが、Azure ポータルからAzure AD の認証方式ポリシーで TAP を有効にすると、(初回サインアップ時やデバイスのセットアップ時に) 認証情報を登録するために利用できるようになる。

TAP を作成/削除する権限は、Global/Privileged Authentication といった、特定のロールのみに与えられる。たとえば、auth method ポリシーを更新して、時間制限付きアクセス・パスを ON に切り替える場合には、管理者は有効期間の範囲を10分から30日の間に設定し、デフォルトの有効期間を設定し、1回限りのパスコード発行を選択し、パスコードの長さを選択する。

Temporary access pass for Azure Active Directory

Azure AD の一時的なパスコードの作成/使用/削除の方法に関する詳細な情報は、Microsoft Docs のサポート・アーティクル (英語) に記載されている。Microsoft は、「一時的なアクセス・パスは、電話サインインなどのパスワードレス方式や、FIDO2 などのフィッシングに強い方式を、安全に登録するために使用できる。さらに、Windows オンボーディング (Azure AD Join/Windows Hello for Business) も支援できる」と述べている。したがって、強力な方式による認証が失われ、新しい認証方法を登録するためのサインインが必要な場合に、この一時的なアクセス・パスにより、簡単に回復できる。

Azure AD TAP details (Microsoft)

Microsoft の2カ月前の発表によると、この6月には、すべての既存の Azure Active Directory (Azure AD) テナントに対して、より厳格なセキュア・デフォルト設定を実施することになる。この発表は、2020年1月に、6万人の新規テナントに対してセキュリティ・デフォルトを有効にした後に行われた。それから2年後の現在、Microsoft によると、全世界の 3000万以上の組織が、最新の認証要件 (パスワードレス・サインインを含む) と多要素認証 (MFA) を実施する、セキュリティ・デフォルトで保護されているという。

Microsoft の Director of Identity Security であ Alex Weinert は、「この展開が完了すれば、さらに 6000万のアカウントを、最も一般的なアイデンティティ攻撃から守ることができる」と説明している。なお、自身の組織において、このセキュリティ・デフォルトの有効化を選びたくない場合には、Microsoft 365 の管理センターや、Azure Active Directory のプロパティを介して、簡単に無効化を選べる。

しかし、Weinert によると、このセキュア・デフォルトを設定している組織の場合には、侵害が 80% 減少しているという。また、アカウント侵害攻撃の 99.9% 以上が、MFA により防止されていることを考えると、良くない選択になるかもしれない。

また、2022年2月に Microsoft は、Office 365 と Azure AD の顧客が、数十億件のフィッシングメールやブルートフォース攻撃の標的になってと表明したが、MFA とパスワードレス認証を有効にすると、こうした攻撃の難易度は大幅に上がることになる。

Microsoft が新たに提供する TAP (Temporary Access Pass) により、パスワードレス認証や、アカウント復旧において、柔軟性が実現されることになるようです。アカウントの保護を強固なものにする場合には、その設定プロセスが複雑化しますし、管理上のトラブルが発生したときの対応も複雑になるでしょう。それらを、まとめて、TAP (Temporary Access Pass) が面倒をみるというかたちになるようです。これで、安心して、アカウント強化が進められますね。

%d bloggers like this: