ビュー:

パスワードの有効期限を設定すると、攻撃者がパスワードを変更する前に推測または解読するリスクを抑えることができます。

パスワードの有効期限が設定されていないアカウントは、アカウントが削除されない限り、無期限に使用できます。時間が経つにつれて、攻撃者が変更されていないパスワードを簡単に解読できるようになります。 Active Directoryおよび Microsoft Entra ID の管理者 (グローバル管理者またはユーザ管理者) は、ユーザによるパスワードの定期変更を削除するか、一時的に無効にできます。ただし、これは緊急アクセスアカウントにのみ適用する必要があります。
この問題は、次の方法で修正できます。
システム
手順
Active Directory
  • すべてのアカウントのグループポリシーオブジェクトで、パスワードの有効期限を定義します。
  • ドメインコントローラのすべてのアカウントで「パスワードを無期限にする」を有効にしないでください。
Microsoft Entra ID
PowerShellを使用してパスワードの有効期限ポリシーを設定します。
  1. PowerShellプロンプトを開き、グローバル管理者またはユーザ管理者アカウントを使用して Microsoft Entra ID テナントに接続します。
    Connect-AzureAD -Confirm
  2. 次のいずれかのコマンドを実行して、パスワードの有効期限を要求します。
    • シングルユーザ (アカウント所有者のユーザIDを指定する必要があります。)
      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
    • 組織内のすべてのユーザ
      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
詳細については、https://learn.microsoft.com/ja-jp/azure/active-directory/authentication/concept-sspr-policyを参照してください。
組織固有の設定によっては、すべてのアカウントにパスワードの有効期限を適用できない場合があります。問題を除外リストに追加して、関連するリスクイベントデータを自社のリスク指標の計算から除外できます。
次の表は、除外リストを利用して代替ソリューションを適用できる状況の概要を示しています。
状況
処理
Microsoft Entra ID とActive Directoryの両方の使用 (ハイブリッド環境)
「パスワードの有効期限が無効」の問題を除外リストに追加します。
サードパーティのIDおよびアクセス管理 (IAM) システムの使用
  • IAMシステムでパスワードの有効期限ポリシーを有効にします。
  • 「パスワードの有効期限が無効」の問題を除外リストに追加します。
グループポリシーオブジェクトの使用
  • GPOを使用してパスワードの有効期限ポリシーを有効にします。
  • 「パスワードの有効期限が無効」の問題を除外リストに追加します。
重要
重要
  • 除外リストに問題を追加すると、関連するリスクイベントデータがリスクインサイトアプリから完全に除外されます。
  • 必要に応じて、リストから問題を削除できますが、除外されたリスクイベントデータは復元できません。
  • 除外リストへの変更は、新しいリスクイベントにのみ適用されます。