Office 365(Azure AD) の”セキュリティ デフォルト”機能について

最近、こんな機能がリリースされ始めています。

Azure Active Directory のセキュリティ デフォルト | Microsoft Docs

この機能以前にBaseline policyというものが存在していました。

条件付きアクセス ベースライン ポリシー – Azure Active Directory | Microsoft Docs

Baseline policyは2019年7月で利用できなくなりましたが、今回登場した"セキュリティ デフォルト"機能はBaseline policyのそれぞれを一括でON/OFFできる機能のようです。

考慮点1. Baseline policyで個別に設定できていたポリシーが一括でしか管理できない

例えば管理者に対するMFAは有効にしたいが、業務上の都合でPOP/IMAPは生かしておきたい、といった場合、以前のBaseline policyでは個別に設定できましたが、"セキュリティ デフォルト"では一括のON/OFFしか設定できません。

考慮点2. 新規に構築したテナントだと規定でONになる

直近で新規Office 365 テナントを構築すると、この機能が既定で有効な状態で提供されるので、ちょっと試用テナントを立てて検証しよ~って時に「管理者の保護」機能により管理者の多要素認証をセットアップしなければならず、非常に面倒。思わずOFFにしてしまいます。

…というか「すべてのユーザーの保護」機能により、普通のユーザーを使うにもMFA登録必須になるので、検証テナントではいちいち使ってられないのでは…。

"セキュリティ デフォルト"をOFFにする方法

  1. AzureADの"プロパティ"タブに移動。下部の"セキュリティの規定値"をクリック

  1. セキュリティ規定値の有効化を"いいえ"にする

まとめ

Baseline policyは設定値はわかりにくいもののエンジニアにとっては納得のいく仕様でしたが、今回の"セキュリティ デフォルト"は機能的に貧弱になった代わりに思わずONにしてしまいそうなネーミングで、何も考えずにONにさせよう、的なMSの指向がうかがえる設定値となっており少し残念ですが、セキュリティを啓もうするにはちょうどいいのかもしれません。

特に旧来的なお客様/SIerほど規定値を重要視するので、そういった人たちに対して規定値ONぶつけてやるのはいいお灸になるかもしれないですね。

参考:【改悪】Office 365 Baseline Policyで、除外アカウントが設定できなくなる

Posted by tera