トップ > サインインの頻度 > 条件付きアクセスの「サインインの頻度」を設定し、再認証のタイミングを制御する

条件付きアクセスの「サインインの頻度」を設定し、再認証のタイミングを制御する

サインインの頻度 条件付きアクセス Microsoft Entra ID Tech

Microsoft Entra ID を利用している環境では、Microsoft 365 アカウントに対する多要素認証(MFA)の要求頻度を制御したいといった声も少なくありません。

本記事では、条件付きアクセス制御の設計者を対象として、条件付きアクセスの「サインインの頻度」を利用した定期的な多要素認証(MFA)について、設定方法や挙動、運用上の注意点を解説します。

「サインインの頻度」とは

サインインの頻度は、条件付きアクセスによって「ユーザーがどのくらいの間隔でクラウドアプリに対する再認証を求められるか」を管理者側で制御するための機能です。

通常(サインインの頻度を未設定)の場合、ユーザーサインインの頻度は約90日が目安とされています。

しかしながら、企業の要件によっては90日より短い間隔で区切りたい場面があります。

そこで「サインインの頻度」を使うことにより、再認証が発生し得るタイミングをある程度制御することが可能になります。

※サインインの頻度を設定したとしても、アプリやブラウザーの持つトークンの更新に影響を受けるため、指定した時間で必ず再認証を強制する挙動とはなりません。事前に動作を確認して設定することを推奨します。

条件付きアクセス「サインインの頻度」の設定方法について

本章では、実際に条件付きアクセスの「サインインの頻度」を設定する方法について記載します。

「サインインの頻度」の設定方法

Microsoft Entra 管理センターにアクセスし、「すべてのクラウドアプリに対し、1時間ごとの頻度で多要素認証を要求する」条件付きアクセスポリシーを作成します。

割り当て対象のユーザーとターゲット リソースを任意で設定し、以下2つの「アクセス制御」を設定します。

1. [許可] > [アクセス権の付与] > [多要素認証を要求する] をチェックします。

2. [セッション] > [サインインの頻度] > [定期的な再認証] をチェックし、「1」「時間」を設定します。
(補足)その他、「毎回」や「日単位(1~365)」で設定が可能です。

最後にポリシーを有効化し、設定は完了です。

動作検証

今回は Outlook(ブラウザー版:Outlook on the web、デスクトップ版:New Outlook)を対象に、デバイス上の挙動を確認しました。

ブラウザー版:Outlook on the web

まずはブラウザー版アプリ「Outlook on the web」にサインインした場合の挙動についてです。

Microsoft Edge 上で Outlook on the web にサインインし、2時間ほど経過したタイミングで「サインインする必要があります。セッションの有効期限が切れています。」という内容のメッセージが表示されました。

何度か動作確認を行ったところ、サインインの頻度を「1時間」と設定した場合、およそ1~4時間の範囲の中で再認証が要求される挙動となりました。

キャプチャでは塗りつぶしを入れていますが、再認証要求時であっても受信トレイ内の件名や送信元のユーザー名が閲覧可能な状態でした。

補足ですが、サインインの頻度によってセッションが切れた場合、再びサインインを試みてパスワード入力の画面へ進むと「組織のポリシーでは、一定期間後にもう一度サインインする必要があります」という、通常とは異なるメッセージが表示されます。

デスクトップ版:New Outlook

続いて、デスクトップ版アプリ「New Outlook」にサインインした場合の挙動です。

デスクトップ版では「サインインする必要があります」というダイアログが表示され、2時間ほど経過したタイミングで再認証を要求される挙動となりました。

デスクトップ版はブラウザー版と異なり、アプリ内のデータが閲覧不可となる挙動となりました。

また、デスクトップ版についても何度か動作確認を行い、再認証の要求間隔にはムラがあることを確認できました。

「サインインの頻度」設定時の注意点

最後に、サインインの頻度を設定する場合の注意点について記載します。

サインインの頻度を「毎回」や「1時間」のように短期間に設定することは、一見するとセキュリティが向上するように思えます。

ところが、サインイン要求頻度が高いと、利便性の低下に加え、フィッシングなどのリスクが高まる可能性があるため注意が必要です。

これは、Microsoftの公開情報にも記載されています。

ユーザーに資格情報を頻繁に求めることは賢明に思えるかもしれませんが、このアプローチは裏目に出る可能性があります。 考えずに資格情報を常習的に入力したユーザーは、意図せずに悪意のあるプロンプトに資格情報を提供する可能性があります。

条件付きアクセスのアダプティブ セッションの有効期間ポリシー - Microsoft Entra ID | Microsoft Learn

そのため、ただ短い間隔で多要素認証を要求することが必ずしもセキュリティを向上させるわけではなく、アカウントの持つ権限や使用頻度に応じて適切なサインインの頻度を検討することが重要です。

おわりに

本記事では、条件付きアクセスの「サインインの頻度」について紹介いたしました。

本記事が管理者の皆さまにとって何かの助けとなれば幸いです。

※本記事の設定内容は作成日時点のものであり、変更される場合があります。

執筆担当者プロフィール
伊勢村 裕生

伊勢村 裕生(日本ビジネスシステムズ株式会社)

金融保険本部に所属。主に Microsoft Intune によるデバイス制御に関連した業務を担当しております。好きなアーティストは BUMP OF CHICKEN です。

担当記事一覧