Updated February 2, 2024: We have updated the rollout timeline below. Thank you for your patience. 

We’re updating Microsoft Secure Score improvement actions to ensure a more accurate representation of security posture.

The improvement actions listed below will be added to Microsoft Secure Score. Your score will be updated accordingly.

[When this will happen:]

This will begin rollout in mid-November 2023 and is expected to be complete by early March 2024 (previously late January).

[How this will affect your organization:]

The following new Microsoft Defender for Identity recommendations will be added as Microsoft Secure Score improvement actions:

• Prevent users to request a certificate valid for arbitrary users based on the certificate template (ESC1)
• Edit overly permissive Certificate Template with privileged EKU (Any purpose EKU or No EKU) (ESC2)
• Edit misconfigured enrollment agent certificate template (ESC3)
• Edit misconfigured certificate templates ACL (ESC4)
• Edit misconfigured certificate templates owner (ESC4)
• Edit vulnerable Certificate Authority setting (ESC6)
• Edit misconfigured Certificate Authority ACL (ESC7)
• Enforce encryption for RPC certificate enrollment interface (ESC8)

These are new security posture reports related to Active Directory Certificate Services (AD CS) that analyze the configurations of different AD CS components and guide remediation, if necessary.

[What you need to do to prepare:]

There’s no action needed to prepare for this change, your score will be updated accordingly. Microsoft recommends reviewing the improvement actions listed in Microsoft Secure Score. We will continue to add suggested security improvement actions on an ongoing basis.

2024 年 2 月 2 日更新: 以下のロールアウト タイムラインを更新しました。何卒ご理解のほどよろしくお願いいたします。 

セキュリティ体制をより正確に表現するために、Microsoft セキュア スコアの改善アクションを更新しています。

以下に示す改善アクションが Microsoft セキュア スコアに追加されます。それに応じてスコアが更新されます。

[これがいつ起こるか:]

これは 2023 年 11 月中旬にロールアウトを開始し、2024 年 3 月上旬 (以前は 1 月下旬) までに完了する予定です。

[これが組織に及ぼす影響:]

次の新しいMicrosoft Defender for Identityの推奨事項が、Microsoft セキュア スコアの改善アクションとして追加されます。

• ユーザが証明書テンプレート(ESC1)に基づいて任意のユーザに有効な証明書を要求できないようにする
• 特権 EKU(任意の目的の EKU または EKU なし)(ESC2)を使用した過度に寛容な証明書テンプレートの編集
• 正しく設定されていない登録エージェント証明書テンプレートの編集(ESC3)
• 誤って設定された証明書テンプレート ACL(ESC4)の編集
• 誤って設定された証明書テンプレート所有者の編集(ESC4)
• 脆弱な認証局設定の編集(ESC6)
• 誤って設定された認証局ACL(ESC7)の編集
• RPC 証明書登録インターフェイス(ESC8)の暗号化を強制する

これらは、Active Directory 証明書サービス (AD CS) に関連する新しいセキュリティ体制レポートであり、さまざまな AD CS コンポーネントの構成を分析し、必要に応じて修復をガイドします。

[準備に必要なこと:]

この変更に備えるためのアクションは不要で、それに応じてスコアが更新されます。Microsoft では、「Microsoft Secure Score」に記載されている改善アクションを確認することをお勧めします。今後も、推奨されるセキュリティ改善アクションを継続的に追加していきます。