Microsoft 365のクラウドサービスは、インターネット環境とユーザーアカウントがあればどこでも使える利便性がメリットです。
一方、クラウドサービスはログイン情報が第三者の手に渡ってしまうと簡単にデータにアクセスされてしまう弱点があり、十分な強度のパスワード設定や適切な管理が求められます。
この記事では、Microsoft 365でパスワードの安全性を担保するためのパスワードポリシーについて解説します。
パスワードポリシーはなぜ必要か
パスワードポリシーとは、サービスのログインパスワードとして設定するための要件のことです。
ユーザーアカウントのパスワードは、第三者に容易に推測されない文字列でなければなりません。
パスワードを変更しようとしたときに「要件を満たしていません」といったメッセージが表示されるのは、単純な文字列を登録できないようシステム側でルールを設定し、条件を満たさないパスワードを弾いているからです。
システムのパスワードポリシーとして定められているのは、主に次のような項目です。
| 項目 | 説明 |
|---|---|
| 文字の種類 | 大文字、小文字、数字、記号のうち〇種類を含める |
| 文字数 | 〇文字以上、〇文字以下 |
| 有効期限 | 次回パスワード変更が必要になるまでの期間 |
| パスワードの履歴 | 直近〇回の間に使用したパスワードは再利用できない |
| 文字の組み合わせ | 推測されやすい文字の組み合わせを禁止する(社名や氏名の一部、同じ文字の連続など) |
マイクロソフトが推奨するパスワード要件
「パスワードに記号は必要か?」
「長さは何文字が適切か?」
パスワードの強度に関する常識は日々変化しており、結局、どのようなポリシーを設定すればよいのか判断に困ることがあるかもしれません。
マイクロソフトの管理者向けパスワードのガイドラインには、パスワードシステムの最大の目的は「多様性」であると示されています。
- 14文字以上
- よく使われるパスワードの禁止
- 定期的なパスワードリセットを要求しない など
また、パスワードに依存すること自体をリスクと考え、多要素認証の利用が推奨されています。
ユーザー向けの教育も必要
パスワードの安全性を確保するには、ユーザーの危機管理意識が重要です。
- 辞書に載っている単語やよく使うフレーズを使わない
- 名前や誕生日を含めない
- 他のサービスで設定したパスワードを使い回さない
簡単に思いつくようなパスワードにしないことは大切ですが、複雑すぎるパスワードを設定したために覚えられず、パソコンに貼ったりしていては本末転倒です。
パスワードの適切な管理方法についても、社内で研修などを行い理解を深めておきましょう。
Microsoft 365のパスワードポリシー
Microsoft 365のログインパスワードにはどのような要件があるのでしょうか。
実は、パスワードポリシーとカスタマイズの可否は、ユーザーが作成された環境で決まっています。
クラウドユーザーは有効期限以外変更不可
クラウド上で作成されたユーザーアカウントのパスワードポリシーは、有効期限以外の項目を自由に設定することはできません。
長さや複雑さはAzure ADのポリシーが自動的に適用されます。
| 項目 | 条件 |
|---|---|
| 文字構成 | 大文字・小文字・数字・記号から3種類以上 |
| 文字数 | 8~256 文字 |
| パスワード履歴 | 直前のパスワードは利用不可 |
オンプレミスAD連携ユーザーはカスタマイズ可能
Azure AD Connectを利用してオンプレミスのユーザーアカウントを同期している場合、オンプレミス側のポリシーがMicrosoft 365に反映しています。
この場合、グループポリシーで任意の値を設定することが可能です。
- 文字数
- 変更禁止期間
- 有効期間
- パスワード履歴を記録する回数 など
Microsoft 365のパスワード有効期限
Microsoft 365のパスワード有効期限ポリシーは、アカウント作成環境にかかわらず管理者がいつでも変更できますので、期間を短くしたり、逆にパスワードの有効期限が切れないよう無期限にしたりと、企業の運用に合わせて設定することが可能です。
デフォルト値は従来、90日に設定されていましたが、2021年以降に作成したテナントでは既定値が無期限に変更されました。
無期限が推奨される理由
以前は、「不正アクセス防止のためにパスワードを定期的に変更する」というのが常識でしたが、最近は「パスワードの定期変更はリスクが大きい」という考え方が一般的となっています。
これは、2017年に米国国立標準技術研究所(NIST)が発表したガイドラインで示された「サービス提供者は定期的なパスワード変更を要求すべきではない」という方針によるものです。総務省もこれに倣い「定期的な変更は不要」と発信しました。
定期的に変更しなければならない場合、毎回複雑なパスワードを考えることや、頻繁に変わるパスワードを覚えておくことが困難になり、単純なパスワードの設定やパスワードの使い回しに陥りやすくなってしまうと言われています。
つまり、定期変更の要求がパスワード強度を下げてしまうということです。
ただし、パスワード変更を一切行わなくて良いという意味ではありません。流出が疑われる場合には、速やかに新しいパスワードに変更する必要があります。
有効期限ポリシーを変更する方法
管理者が組織内のユーザーのMicrosoft 365パスワード有効期限ポリシーを変更する手順を解説します。
2021年以前からMicrosoft 365を利用しているテナントではデフォルトで90日になっていますが、この手順で無期限に変更することができます。
Microsoft 365管理センターの設定手順
- Microsoft365管理センター(https://admin.microsoft.com/)にサインインします。
- 「設定」→「組織設定」をクリックします。
- 「セキュリティとプライバシー」タブを選択します。
- 「パスワードの有効期限ポリシー」をクリックします。
- 期限を設けない場合は、「パスワードを無期限に設定する」にチェックを入れます。期限を設定する場合は、有効期限が切れるまでの日数を入力します。
- 「保存」をクリックします。
変更できない場合の確認事項
Microsoft 365管理センターでパスワードの有効期限ポリシーを変更できない場合には、次のような原因が考えられます。
AD連携の場合はAD側で設定する
オンプレミスADのアカウントを連携している場合、Microsoft 365管理センターからはパスワードポリシーを変更できませんので、AD側で設定を行いましょう。
ゲストユーザーのポリシーは変更不可
パスワードポリシーを変更できるのは、ユーザーが所属するテナントの管理者のみです。
ゲストとして招待されているユーザーは組織内のユーザーではないため、ポリシーを設定しても適用外となります。
記事まとめ
パスワードポリシーの考え方は日々変化しています。
複雑さの定義や「定期変更不要」という考え方も、今後変化していく可能性があります。
管理者に求められているのは「運用やユーザーのレベルに適したポリシーを設定すること」です。
Microsoft 365では多要素認証にも対応しています。パスワード以外でも認証セキュリティを強化することが可能ですので、ぜひ自社に合った方法を探してみてください。
【関連記事】合わせて読みたい
Officeのサポート切れに注意!Microsoft 365でセキュリティ対策を強化
【中小企業向けOffice】Microsoft 365 Business Premium(プレミアム)とは
※記載されている会社名および製品名は、各社の商標または登録商標です。
SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら
※免責事項
本コンテンツは一般的な情報の提供を目的としており、法律的、税務的その他の具体的なアドバイスをするものではありません。個別具体的事案については、必ず弁護士、税理士等の専門家にご相談ください。
本コンテンツの情報は、その情報またはリンク先の情報の正確性、有効性、安全性、合目的性等を
補償したものではありません。
また、本コンテンツの記載内容は、予告なしに変更することがあります。
Microsoft 365ならライセンス管理・ファイル共有が簡単に!
