問題
あなたの会社Business Additional Success Corporation(BASC)では従業員が使用しているパスワードについてヒアリングしたところ、会社の名称をそのままパスワードにしているユーザーが多いことが分かりました。
そのため、セキュリティ上の理由から会社の略称をパスワードに設定できないようにする必要があります。
BASC、basc、Basc、B@SCのいずれの文字列もパスワードとして設定できないようにするために
どのような文字列をカスタム禁止パスワードに設定する必要がありますか?
1. BASC、basc、Basc、B@SC
2. BASC、basc、B@SC
3. basc、B@SC
4. basc回答
4.basc
解説
Entra IDテナントでは、全てのテナントに対して「グローバル禁止パスワード」というポリシーが適用される。
これにより、Microsoftが指定する非推奨のパスワードの設定ができなくなる(Password123など)
それとは別で、Entra IDのパスワード保護の機能であるカスタム禁止パスワードを設定することで、
特定の単語をパスワードに設定することを禁止できる。
利用にはEntra ID P1以上のライセンスが必要。
カスタム禁止パスワード
カスタム禁止パスワードは登録された文字を全て小文字に正規化してから評価をする。
また、aを@や^に、sを$や5に、iを1や!に置き換えるような、よくある「パスワード回避テクニック」も自動的に検知できる。
システムは B@SC のようなパスワードを評価する際に、@ を a に戻して basc と比較する。
<カスタム禁止パスワード>
厳密にどの程度の曖昧さに耐えて評価されるかについては、評価アルゴリズムの記載もあるため、
これに従い要件を満たせるかを評価可能。
※Entra ID P1ライセンス以上が必要
<パスワードの評価方法>
オンプレADとの同期ユーザーについて
既定の状態では、オンプレADによるパスワード管理とEntra IDによるパスワード管理は別物・別ポリシーで動くため、
AD側でEntra IDパスワード保護のパスワード評価を行いたい場合は以下のような対応が必要になる。
パスワード同期時にEntra IDパスワードポリシーで評価する
規定では無効の設定値だが、オンプレADからのパスワード同期時にEntra IDのパスワードポリシーを評価する仕組みもある。
Entra パスワード保護の機能はEntra IDのユーザーに対して有効である。
Entra Connectでユーザー同期をしている場合、パスワードポリシーの評価はAD側になるため、
• ADではパスワード設定変更完了
• 同期時にEntra IDパスワード保護のポリシーに引っかかり、パスワードの同期がされない
という不整合が発生する可能性がある。
<参考:Microsoft Entra のパスワード ポリシー>
オンプレADでEntra IDのパスワードポリシーを拡張して適用する
ドメインコントローラーにMicrosoft Entra Password Protection DC エージェント ソフトウェアをインストールすることで、
ADのネットワークポートなどを開けることなくセキュアにパスワード保護ポリシーを共有できる。
<Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護を適用する>
Entra Connect同期環境において
• DCエージェントが無い場合
ADでのパスワード変更 → ADでのパスワードポリシー評価 → Entra Connectの同期 → Entra IDパスワード保護の評価
という評価フローになり
• DCエージェントがある場合
ADでパスワード変更 → ADでEntra IDパスワード保護の評価
という評価フローになる。(こういった試験問題も出る可能性がある)
運用を想定した注意点
- パスワードにUnicode文字列が含まれている場合、オンプレでの変更や正常でもクラウド同期で失敗する可能性がある。
現実的な運用においては「英数字+記号、〇文字以上」 Entra側ではMFAを必須にする などの明文化されたポリシーが必要。
コメント