Microsoft 365

Microsoft 365のアカウントロックとは? スマートロックアウト機能の仕組みと運用上の注意点

#Microsoft 365#Entra ID#アカウントロック#スマートロックアウト#セキュリティ

「パスワードを何回か間違えたらアカウントがロックされた」「ロック解除の方法がわからない」——情シスのヘルプデスクで最も多い問い合わせの一つがアカウントロックに関するものです。

Microsoft 365(Entra ID)のアカウントロックは、オンプレミスのActive Directoryとは仕組みが異なります。特にEntra IDが採用しているスマートロックアウト機能は、従来のロックアウトとは根本的に異なるアプローチでブルートフォース攻撃(総当たり攻撃)を防いでいます。

この記事では、Entra IDのアカウントロックの仕組みを正確に理解し、情シス担当者が押さえるべき運用ポイントを解説します。

アカウントロック(ロックアウト)とは

アカウントロックとは、一定回数以上パスワードの入力に失敗した場合に、そのアカウントへのサインインを一時的にブロックする仕組みです。攻撃者がパスワードを総当たりで試行するブルートフォース攻撃を防ぐためのセキュリティ機能です。

ただし、ロックアウトには副作用があります。正規のユーザーがパスワードを忘れて何度も試した場合にもロックがかかり、業務が止まってしまいます。また、攻撃者が意図的に他人のアカウントをロックさせる「アカウントロック攻撃(DoS攻撃の一種)」も可能です。

Entra IDのスマートロックアウトは、この「セキュリティ」と「利便性」のバランスを取るために設計された機能です。

オンプレミスADのロックアウトとの違い

まず、従来のオンプレミスActive Directoryのロックアウトとの違いを整理しておきましょう。

オンプレミスADのロックアウト

オンプレミスのActive Directoryでは、グループポリシーで以下の3つのパラメータを設定します。

  • アカウントのロックアウトのしきい値: 何回パスワードを間違えたらロックするか(例:5回)
  • ロックアウト期間: ロックが自動解除されるまでの時間(例:30分)。0に設定すると管理者が手動で解除するまでロックが解除されない
  • ロックアウトカウンターのリセット: 失敗回数のカウントがリセットされるまでの時間(例:30分)

この方式はシンプルですが、すべてのサインイン試行を同等に扱うため、正規ユーザーの操作ミスも攻撃者の試行も区別できません。

Entra IDのスマートロックアウト

Entra IDでは、スマートロックアウトが標準で有効になっており、すべてのテナントに適用されます。スマートロックアウトはオンプレミスADの単純なカウント方式とは異なり、AIと機械学習を活用してサインイン試行のパターンを分析し、正規ユーザーと攻撃者を区別しようとします。

スマートロックアウトの仕組み

基本動作

スマートロックアウトのデフォルト設定は以下のとおりです。

  • ロックアウトのしきい値: 10回の失敗でロック(既定値)
  • ロックアウト期間: 60秒(既定値)。繰り返しロックアウトが発生すると、ロック期間は徐々に延長される

つまり、パスワードを10回間違えると60秒間ロックされ、解除後にさらに間違え続けると、次のロック期間はより長くなります。この段階的な延長により、攻撃者が長時間にわたって総当たり攻撃を続けることを困難にしています。

「スマート」な部分

スマートロックアウトが「スマート」と呼ばれる理由は、以下の機能にあります。

既知の場所と未知の場所の区別: スマートロックアウトは、過去にサインインに成功した場所(IPアドレス)からの試行と、見慣れない場所からの試行を区別します。見慣れない場所からの失敗試行は、既知の場所からの試行よりも早くロックアウトの対象になります。

これにより、社員が普段のオフィスからパスワードを数回間違えた程度ではロックされにくく、攻撃者が海外のIPアドレスから総当たり攻撃を仕掛けた場合には素早くブロックされる、という動作が実現されています。

パスワードのバリエーション認識: 同じパスワードの微妙なバリエーション(大文字小文字の違い、末尾の数字の違いなど)を1回の試行としてカウントする場合があります。これにより、ユーザーが「あれ、大文字だったかな?」と数パターン試してもすぐにはロックされにくくなっています。

カスタマイズ可能な設定

Entra IDの有料プラン(Entra ID P1以上。Microsoft 365 Business Premiumに含まれる)では、スマートロックアウトのしきい値とロックアウト期間をカスタマイズできます。

設定場所はEntra管理センター(entra.microsoft.com)→「保護」→「認証方法」→「パスワード保護」です。

  • ロックアウトのしきい値: 1〜50の範囲で設定可能。既定値は10
  • ロックアウト期間(秒): 1〜600の範囲で設定可能。既定値は60

一般的には既定値のまま運用しても問題ありませんが、セキュリティポリシーが厳格な組織ではしきい値を下げる(例:5回)場合もあります。ただし、しきい値を下げすぎると正規ユーザーがロックされやすくなるため、社内のパスワード管理状況とのバランスを考慮してください。

参考: Microsoft Entra のスマート ロックアウト - Microsoft Learn

ロックされた場合の解除方法

自動解除を待つ

スマートロックアウトは時間経過で自動解除されます。既定では最初のロックは60秒で解除されるため、社員に「1分待ってから再試行してください」と案内するのが最もシンプルな対応です。

セルフサービスパスワードリセット(SSPR)

Entra IDの**セルフサービスパスワードリセット(SSPR)**が有効になっていれば、ロックされたユーザー自身がパスワードをリセットし、新しいパスワードでサインインできます。SSPRはMicrosoft 365 Business Premium以上で利用可能です。

SSPRでは、多要素認証(MFA)と同様の認証方法(電話番号へのSMS、認証アプリなど)で本人確認を行い、パスワードを再設定します。これにより、情シス担当者がロック解除の対応をしなくても、社員が自分で解決できます。

SSPRを未導入の場合、パスワードリセットのたびに情シス担当者が手動対応する必要があり、ヘルプデスクの負荷が大きくなります。中小企業であっても、SSPRの導入は強く推奨します。

管理者による手動解除

SSPRが使えない場合や、何らかの理由でユーザー自身がリセットできない場合は、管理者がEntra管理センター(またはMicrosoft 365管理センター)からパスワードをリセットすることで対応します。

Entra管理センターの「ユーザー」→対象ユーザーを選択→「パスワードのリセット」から実行できます。リセット後、一時パスワードが生成されるので、それをユーザーに伝え、初回サインイン時にパスワードを変更してもらいます。

ロックアウトが頻発する場合の原因と対策

原因1:古いパスワードがキャッシュされたデバイス

パスワードを変更した後、古いパスワードがキャッシュされているデバイス(スマートフォンのメールアプリ、古いPCのOutlookなど)が旧パスワードで繰り返しサインインを試行し、ロックアウトを引き起こすケースです。

対策: パスワード変更時に、「すべてのデバイスでサインアウトし、新しいパスワードで再サインインしてください」と社員に案内する。特にスマートフォンのメールアプリは見落としやすいので注意が必要です。

原因2:共有アカウントの使い回し

複数人で1つのアカウントを共有している場合、誰かがパスワードを変更すると、他のメンバーが旧パスワードで何度もログインを試みてロックアウトが発生します。

対策: 共有アカウントの使用を見直す。Microsoft 365では共有メールボックスやMicrosoft 365グループなど、アカウントを共有せずに共同作業を行う仕組みが用意されています。

原因3:外部からのブルートフォース攻撃

見慣れないIPアドレスから大量のサインイン失敗が記録されている場合、ブルートフォース攻撃を受けている可能性があります。

対策: Entra IDのサインインログを確認し、不審なIPアドレスからの試行がないかを確認する。条件付きアクセスポリシーで特定の国/地域からのサインインをブロックする、多要素認証(MFA)を全ユーザーに適用するなどの対策が有効です。

原因4:パスワードスプレー攻撃

パスワードスプレー攻撃は、1つのアカウントに対して大量のパスワードを試すのではなく、多数のアカウントに対して「よく使われるパスワード」を少数ずつ試す手法です。この攻撃はアカウントごとの失敗回数が少ないため、通常のロックアウトでは検出しにくいのが特徴です。

対策: Entra IDのパスワード保護機能を使って、よく使われるパスワード(「password123」「company2026」など)の設定を禁止する。カスタム禁止パスワードリストに自社名や製品名を追加することも有効です。Entra ID P1以上では、カスタム禁止パスワードリストを設定できます。

参考: Microsoft Entra パスワード保護を使用して脆弱なパスワードを排除する - Microsoft Learn

Entra Hybrid Join環境での注意点

オンプレミスADとEntra IDを同期している環境(Entra Hybrid Join / Entra Connect)では、ロックアウトの動作に注意が必要です。

オンプレミスADのロックアウトとスマートロックアウトの二重適用

Entra Connectでパスワードハッシュ同期またはパススルー認証を構成している場合、オンプレミスADのロックアウトポリシーとEntra IDのスマートロックアウトの両方が適用されます。

たとえば、オンプレミスADのロックアウトしきい値が5回、Entra IDのスマートロックアウトしきい値が10回の場合、5回の失敗でオンプレミスADがロックし、Entra ID側はまだロックされていないという状況が発生します。

推奨: オンプレミスADのロックアウトしきい値を、Entra IDのスマートロックアウトしきい値よりも大きく設定する(または同じ値にする)ことで、スマートロックアウトの「スマート」な機能が先に動作するようにします。

パスワード保護のオンプレミスへの拡張

Entra ID P1以上のライセンスがあれば、Entra IDの禁止パスワードリスト(カスタムリスト含む)をオンプレミスADにも適用できます(Entra Password Protection for Windows Server Active Directory)。これにより、クラウドとオンプレミスで一貫したパスワードポリシーを維持できます。

MFA(多要素認証)との関係

アカウントロック対策として最も効果的なのは、MFA(多要素認証)の導入です。MFAが有効になっていれば、パスワードが漏えいした場合でも、第2の認証要素(認証アプリの承認、SMSコードなど)がなければサインインできないため、ブルートフォース攻撃やパスワードスプレー攻撃の実質的な脅威を大幅に低減できます。

MFAが全ユーザーに適用されている環境では、パスワードの試行失敗によるロックアウト自体が発生しにくくなります。攻撃者がパスワードを突破しても第2要素で止まるため、パスワードの総当たり攻撃の動機自体が減少するからです。

Microsoftは2024年以降、すべてのEntra IDテナントでMFAの有効化を段階的に必須化しています。まだMFAを導入していない企業は、ロックアウト対策以前の問題として、早急にMFAを全社展開してください。

情シス担当者向け:ロックアウト関連の運用チェックリスト

  • スマートロックアウトのしきい値と期間を確認しているか(Entra管理センター→保護→認証方法→パスワード保護)
  • セルフサービスパスワードリセット(SSPR)が有効になっているか
  • SSPRの認証方法(電話、認証アプリ)がユーザーに登録されているか
  • 多要素認証(MFA)が全ユーザーに適用されているか
  • カスタム禁止パスワードリストに自社名・製品名が登録されているか
  • Hybrid Join環境の場合、オンプレミスADのロックアウトしきい値がスマートロックアウト以上になっているか
  • サインインログを定期的に確認し、不審な失敗パターンがないかモニタリングしているか
  • パスワード変更時の「全デバイスで再サインイン」の手順が社員に周知されているか

まとめ

Microsoft 365(Entra ID)のスマートロックアウトは、正規ユーザーの利便性を損なわずにブルートフォース攻撃を防ぐ機能です。既知の場所と未知の場所を区別し、段階的にロック期間を延長するという「スマート」な動作により、オンプレミスADの単純なカウント方式よりも柔軟な保護を提供します。

ただし、スマートロックアウトだけに頼るのではなく、MFAの全社展開、禁止パスワードリストの活用、SSPRの導入を組み合わせることで、アカウントセキュリティとユーザー利便性の両立を実現できます。

情シス365では、Entra IDのセキュリティ設定の最適化、MFA展開、SSPR導入、条件付きアクセスポリシーの設計を支援しています。「ロックアウトの問い合わせが多くてヘルプデスクが回らない」「MFAをまだ導入できていない」という方は、お気軽にご相談ください。

☁️Support365 — 運用代行・ヘルプデスク

Microsoft 365の運用管理・トラブル対応・アカウント管理まで、日々のIT業務をまるごとサポート。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談