Microsoft Basline security mode(BSM)のAzure管理への影響を考える
はじめに
2025年11月のIgniteにて、「Microsoft Basline security mode(BSM)」がGAされました。
曰く、M365に関するいくつかのセキュリティ設定を、ポチポチクリックしていくことで正しく展開できるような機能のようです。
現時点では、5つのコアサービスにまたがる、3つの領域に対して18の設定が入るとのこと。
<コアサービス>
- Office
- Exchange
- Teams
- SharePoint/OneDrive
- Entra
<領域>
- Authentication
- Files
- Room devices
私のようなAzureインフラを主領域とするロールにとっては、Entra × Authenticationのあたりが気になりますね。
なお、今後はPurview、Intune、Dynamics 365、AzureといったM365以外のサービスにもBSMが展開される予定とのこと。Azureに関しては、Microsoft Defender for Cloudでチェックするような項目が強制適用されるようなイメージでしょうかね??サービス公開が楽しみです。
設定しながら効果を見てみる
さて、ドキュメント(techcommunityのブログ)を見ながら設定してみます。
ふむふむ、『Microsoft 365管理センター→組織設定→セキュリティ&プライバシー→ベースラインセキュリティモード』から設定すると…
ないじゃん!
段階リリースされているのか、日本ではなのか、まだ利用できないようでした…。
ということで、どんな設定が入ってくるか机上で分かる範囲で確認します。
Entraの範囲の設定項目
ちょうどドキュメントのスクリーンショットに、Authentication>Entraに関する設定項目が見えていました。
設定される項目は4つのようです。
| 原文 | 日本語訳 | 効果(予想) | 関連ドキュメント |
|---|---|---|---|
| Require phishing-resistant authentication for admins | 管理者へのフィッシング耐性認証の要求 | 管理者ロールの付与されたアカウントに対し、FIDO2セキュリティキーやWindows Helloなど、フィッシング攻撃に耐性のある認証方法(多要素認証)の利用が必須になる。おそらく、条件付きアクセスを利用しての実装。 | learn |
| Block legacy authentication | レガシー認証のブロック | IMAPやPOP3などの古い認証プロトコルの使用を禁止。おそらく、Exchange Onlineなどで古い認証設定のまま使うのがブロックされますね。これもおそらく、条件付きアクセスでの実装。 | learn |
| Block new password credentials in apps | 新しいパスワード資格情報のブロック | アプリケーションに、パスワードベースの認証=シークレットを新しく追加するのを禁止。証明書やMananed IDによる利用が強制されるものと思われます。 | learn |
| Turn on restricted management user consent settings | アプリケーションに自身のデータへのアクセス権を付与することを制限(管理者でないと許可できない)設定、だったかと思います。 | Learn |
アジュラー(Azurer)としては、レガシー認証は少々守備範囲外ですが、その他の設定はよくあるものかと思いますが、Entra IDでやっとくべき設定ってもう少しある気がするんですよね。これからきっと増えてくのでしょう。
おわりに
残念ながら設定&検証は出来ませんでしたが、机上で評価は出来ました。入れてオカシイ設定ではないので、展開できるようになったら設定しても良いかなと思う一方、設定内容自体はわりと一般的なものですので、ちゃんと運用されている場合、設定済という方も多いのではないでしょうか。
一方で、この手の管理機能はどんどん強化されていきますし、推奨事項が変わったりましますので、全部自分でやっていくのは非常に困難です。
私としては対象にAzureが追加されるのを期待しつつ、こういったマネージドな機能に寄せて運用を楽にしてきたいなと思います。
Discussion