課題:各種の業務サービスのパスワードポリシー管理が煩雑で退職後もサービスを利用していたりしてしまう。(M365によるSSO)
解決した課題
- 業務で利用している各種SaaSのパスワードポリシー管理が煩雑で、運用が属人的になっていた。
- 退職者のアカウント停止がサービスごとに漏れやすく、退職後もログインできてしまうリスクがあった。
対応内容
- 方針:Microsoft 365に付属するEntra ID(旧Azure AD)をIdPとしてSSOを構築し、認証を一元管理する設計を採用した。
- 構成の統一:
- 各サービス側のローカルパスワード認証を原則廃止し、SSOのみでログインする構成へ寄せた。
- パスワードポリシーの分散管理を無くし、運用負荷とヒューマンエラーを抑制した。
- 退職(オフボーディング)の簡素化:
- 退職時はEntra ID側のアカウントを削除(または無効化)するだけで、SSO経由のアクセスを一括遮断できる状態にした。
- 停止漏れによる不正利用リスクを抑えるため、退職手順を「Entra ID起点」に統一した。
- MFA必須化による不正ログイン対策:
- Entra IDの認証に対して、スマホのMicrosoft Authenticatorアプリを用いた多要素認証(MFA)を必須化した。
- これにより、パスワード流出や推測が起きても、第二要素が無い限りログインできない構成にした。
- ゼロトラスト寄りの運用へ:
- 認証の起点をEntra IDへ集約し、MFAを標準化することで「都度認証・都度評価」に寄せた運用へ移行しやすい土台を整えた。
結果
- 各サービスごとのパスワード管理を廃止し、Entra IDベースのSSOに統一することで、認証運用の負荷と属人性を低減した。
- 退職時にEntra IDアカウントを削除(無効化)するだけでアクセスを止められるため、停止漏れと不正利用のリスクを抑制できた。
- MFA(Microsoft Authenticator)を必須化し、認証強度を引き上げて不正ログインリスクを低減した。