============================
■【1. 全体概要と結論】■
============================
HENNGE Access ControlをIdPとして利用している現状のM365認証構成におけるデメリットを明確化し、Entra IDへの移行を検討する際の技術的懸念点を解消することが目的である。特に、IntuneやWindows Hello for Business(WHfB)の導入を視野に入れた際の認証フローや条件付きアクセスの問題が焦点。
<関連サービス>
Azure AD(Entra ID)、Microsoft 365、HENNGE Access Control、Intune、Windows Hello for Business(WHfB)
<主要な課題>
・HENNGE Access Controlを利用したM365認証のデメリット
・Entra IDへの移行に伴う技術的懸念点
・IntuneおよびWHfB導入時の条件付きアクセスの問題
・HENNGEによる認証リダイレクトの影響
<全体の回答結論>
HENNGEが認証フローに与える影響を技術的に分析し、Entra IDへの移行がもたらすメリットを提示している。また、IntuneやWHfB導入時の条件付きアクセスの設定に関する具体的な手順を提案し、HENNGEを利用し続ける場合のリスクについても説明。
=================================
■【2. 調査内容】■
=================================
【2.1. 調査したこと1:HENNGE Access Controlを利用したM365認証のデメリット】
【調査したこと】
HENNGE Access ControlをIdPとして利用している現状のM365認証構成において、技術的なデメリットを明確化したい。また、Entra IDへの移行を検討する際に、IntuneやWHfB導入時の条件付きアクセスに関する懸念点を解消したい。
<発生事象>
・HENNGEが認証フローに介入することで、M365認証におけるリダイレクトや動作不良が発生する可能性。
・IntuneやWHfB導入時に条件付きアクセスが正常に動作しない懸念。
<関連環境>
・HENNGE Access ControlをIdPとして利用。
・Microsoft 365はSPとして構成。
・Entra ID Freeを使用中。
・今後、M365E3ライセンスを導入予定。
【調査結果】
HENNGEが認証フローに与える影響を技術的に分析し、Entra IDへの移行がもたらすメリットを確認。また、HENNGEを利用し続ける場合のリスクについても説明している。
<根本原因と技術解説>
・HENNGEが認証フローに介入することで、条件付きアクセスやMFAの動作に影響を与える可能性がありる。
・Entra IDへの移行により、Azure AD JoinやIntuneの条件付きアクセスがスムーズに動作するようになりる。
・HENNGEがMFAを要求しない場合、IDとパスワードの漏洩によるレガシー認証(WS-Trust)を悪用した攻撃が可能である。
参考URL:
https://aka.ms/LearnAboutSenderIdentification
<対応策>
・Entra IDへの移行を推奨し、M365認証を一本化する。
・条件付きアクセスポリシーを設定し、IntuneとWHfBを活用する。
・HENNGEを利用し続ける場合は、MFAの設定を強化し、リダイレクト時の動作確認を徹底する。
・「Intuneを活用するためにMHEJが必須。となるとEdgeやChromeでM365にアクセスする際にHENNGEはバイパスされる。」
・「サインインにPINを設定するとHENNGEの認証情報は利用されなくなる。」
参考URL:
https://aka.ms/LearnAboutSenderIdentification
=================================
■【3. 全ての参考URLリスト】■
=================================
コメント