Microsoft 365 / Azureを利用する企業の認証基盤である Microsoft Entra ID(旧Azure Active Directory)には、初期状態で有効化できる無料のベースライン保護機能「セキュリティデフォルト」があります。本記事ではセキュリティデフォルトの中身、有効化手順、条件付きアクセス(Conditional Access)との使い分けまでを実務担当者向けに整理します。
セキュリティデフォルトとは
セキュリティデフォルトは、Microsoftが推奨する基本的なID保護策をワンクリックで一括有効化できる機能です。2019年に導入され、2022年以降は新規テナントでデフォルトオン、既存テナントでも管理者が任意に有効化できます。
セキュリティデフォルトで自動適用される6つの保護
- 全ユーザーへのMFA登録必須化:14日以内にMicrosoft Authenticatorアプリの登録が必要
- 管理者ロール保持者のMFA必須:グローバル管理者など特権ロールはサインインのたびにMFA
- レガシー認証のブロック:IMAP・POP・SMTP AUTHなど旧プロトコルを遮断
- リスクの高いサインインへのMFA要求:パスワードスプレー攻撃などを検知時にMFA
- Azure portal等の特権操作へのMFA:Azure管理ポータルアクセス時に常時MFA
- サービスプリンシパルの保護強化:アプリ登録時のデフォルト権限を最小化
セキュリティデフォルトを有効化すべき企業
判定軸 | セキュリティデフォルト推奨 | 条件付きアクセス推奨 |
|---|---|---|
Microsoft 365プラン | Business Basic/Standard、E1相当 | Business Premium、E3/E5 |
従業員規模 | 1〜100名程度の中小企業 | 100名以上の中堅・大企業 |
必要な制御粒度 | シンプルな全社一律ポリシー | 役職・場所・端末別の詳細制御 |
追加コスト | 無料(全エディション) | Entra ID P1/P2ライセンス必要 |
有効化手順(管理者向け)
- Microsoft Entra管理センター(entra.microsoft.com)にグローバル管理者でサインイン
- 左メニュー「ID」→「概要」→「プロパティ」を開く
- ページ下部「セキュリティの既定値群の管理」を選択
- 「セキュリティの既定値群」を「有効」に切り替え、理由を選択して保存
- 全ユーザーに14日以内のMFA登録を案内(Microsoft Authenticatorアプリの導入手順を周知)
既存の条件付きアクセスポリシーを運用している場合、セキュリティデフォルトと併用できません。どちらか一方を選択する必要があります。
セキュリティデフォルトの限界
1. 例外運用ができない
「特定のサービスアカウントだけMFA除外」「社内IPからのみパスワード認証許可」といった例外制御は不可能です。サービスアカウント運用がある企業では条件付きアクセスへの移行を検討します。
2. 場所・デバイスベースの制御がない
「未登録デバイスからのアクセスはブロック」「日本国外からのアクセスはMFA必須」といった条件付き制御はできません。
3. 詳細なログ・分析機能なし
サインインリスクの詳細分析やリスクユーザーレポートはEntra ID P2が必要です。
条件付きアクセスへの移行タイミング
- 従業員数が100名を超え、部門別の制御が必要になった
- テレワーク端末のコンプライアンス(Intune管理)を強制したい
- サードパーティSaaS(Salesforce、Boxなど)のアクセス制御を統合したい
- ハイブリッドAzure AD JoinやIntune管理デバイスを条件にしたい
まとめ:まず有効化、次にステップアップ
セキュリティデフォルトはMicrosoft 365を契約しているすべての企業が、追加コスト0円で実行できる最も費用対効果の高いセキュリティ対策です。攻撃の99%以上がMFAで防げると言われる中、「まだ有効化していない」企業は最優先で導入を検討しましょう。
AEVUSではEntra IDのセキュリティ設定診断、条件付きアクセスポリシー設計、Intune導入支援まで、Microsoft 365環境全体のセキュリティ強化を支援します。
セキュリティデフォルト有効化後の最初の14日間が運用定着の山場です。ヘルプデスク対応のFAQ整備とAuthenticatorアプリ導入手順書を準備してから有効化することを推奨します。
