Entra 条件付きアクセスのトークンの保護とトークンの取り消しについて
多要素認証を有効化している場合でも、AiTM 攻撃などを利用したトークンの盗難によって、侵害が行われることがあります。
悪意のある攻撃者は、Evilginx2 のようなソフトウェアを用いて、ユーザーとユーザーがアクセスしようとしている正規のアプリケーションの間に、悪意のあるインフラストラクチャーを仕掛け、資格情報とトークンの盗難を試みます。こういったケースに対する対策について、2つの機能を考えてみたいと思います。
条件付きアクセスのトークンの保護
こういった盗難に対する対策のひとつとして、条件付きアクセスによるトークンの保護機能があります。トークン保護の機能は、トークンとそれを発行するデバイスの間でクライアントシークレットを保持し、クライアントシークレットがなければリソースへのアクセスを許可しない仕組みです。2025年 1月の段階ではプレビュー提供となっていますが、期待したい機能です。
※下記記載の機能や制限事項等については、今後変更が入る可能性がありますのでご了承ください。
前提条件
・Microsoft Entra 参加済み、もしくはMicrosoft Entra ハイブリッド参加済み、Microsoft Entra 登録済みの Winodws 10 以降のデバイス
・その他アプリケーションのバージョンに関する要件(詳細は公開情報を参照ください)
制限事項
現在プレビューでの提供で、特定サービスのサインイン トークン (更新トークン) のトークン保護を要求する条件付きアクセス ポリシーを作成する機能が提供されています。 Windows デバイス上で Exchange Online および SharePoint Online にアクセスするデスクトップ アプリケーションの条件付きアクセスで、サインイン トークンのトークン保護がサポートされています。
設定
設定は、Entra 管理センターの条件付きアクセスの [アクセス制御] のセッションの項目から指定します。その他の詳細については公開情報を参考にしてください。
更新トークンの取り消し
この機能を検討するに際して、トークンの盗難の検知方法についての課題はいったん置いておくとして、盗難された場合には Entra 管理センターから更新トークンを取り消すことが可能です。更新トークンが取り消されると、そのトークンは無効になります。関連付けられたアクセス トークンの有効期限が切れると、ユーザーは再認証を求められます。
トークンには種類があるので、実際の取り消しの方法については公開情報を参考に進めていただくのが良いと思いますが、更新トークンを取り消しても状況によってはアクセストークンが有効な状態が継続する場合がある点については懸念もあるかと思いますので、継続的なアクセス評価 (CAE) に関する情報を併せて確認しておくのが良いでしょう。
継続的なアクセス評価 (CAE)
更新トークンの取り消しなどを行った場合でも、アクセストークンが無効になるまで一定の時差が想定され、その時差に対応するため、継続的なアクセス評価 (CAE) が取り入れられています。つまり、ユーザーやポリシーに重大な変更等が生じた場合に、ほぼリアルタイムでそれを反映させようとする仕組みです。
詳しいことは、以下のようなブログなども参考にされてください。
1. CAE (Continuous Access Evaluation: 継続的アクセス評価) | Japan Azure Identity Support Blog
2. Microsoft Entra での継続的なアクセス評価 - Microsoft Entra ID | Microsoft Learn
3. OpenID Continuous Access Evaluation Profile 1.0 - draft 01