Updated January 5, 2024: We have updated the rollout timeline below. Thank you for your patience.

We’re updating Microsoft Secure Score improvement actions to ensure a more accurate representation of security posture.

The improvement actions listed below will be added to Microsoft Secure Score. Your score will be updated accordingly.

[When this will happen:]

This will begin rollout in mid-October 2023 and is expected to be complete by late January 2024 (previously late December).

[How this will affect your organization:]

The following new Microsoft Entra (AAD) recommendations will be added as Microsoft Secure Score improvement actions:

• Ensure ‘Phishing-resistant MFA strength’ is required for administrators.
• Ensure custom banned passwords lists are used.

The following new Microsoft Sway recommendations will be added as Microsoft Secure Score improvement actions:

• Ensure that Sways cannot be shared with people outside of your organization

The following new Atlassian recommendations will be added as Microsoft Secure Score improvement actions:

• Enable multi-factor authentication (MFA).
• Enable Single Sing On (SSO).
• Enable strong Password Policies.
• Enable session timeout for web users.
• Enable Password expiration policies.
• Atlassian mobile app security – Users that are affected by policies.
• Atlassian mobile app security – App data protection.
• Atlassian mobile app security – App access requirement.

The following new Zendesk recommendations will be added as Microsoft Secure Score improvement actions:

• Enable and adopt two-factor authentication (2FA).
• Send a notification on password change for admins, agents, and end users.
• Enable IP restrictions.
• Block customers to bypass IP restrictions.
• Admins and agents can use the Zendesk Support mobile app.
• Enable Zendesk authentication.
• Enable session timeout for users.
• Block account assumption.
• Block admins to set passwords.

The names, functionality and compliance conditions for Okta and DocuSign security recommendation were updated as Microsoft Secure Score improvement action.

The name of this control “Ensure Sign-in frequency is enabled and browser sessions are not persistent for Administrative users” is changed to “Ensure Sign-in frequency is enabled and browser sessions are not persistent for Administrative users”.

[What you need to do to prepare:]

There’s no action needed to prepare for this change, your score will be updated accordingly. Microsoft recommends reviewing the improvement actions listed in Microsoft Secure Score. We will continue to add suggested security improvement actions on an ongoing basis.

2024 年 1 月 5 日更新: 以下のロールアウト タイムラインを更新しました。何卒ご理解のほどよろしくお願いいたします。

セキュリティ体制をより正確に表現するために、Microsoft セキュア スコアの改善アクションを更新しています。

以下に示す改善アクションが Microsoft セキュア スコアに追加されます。それに応じてスコアが更新されます。

[これがいつ起こるか:]

これは 2023 年 10 月中旬にロールアウトを開始し、2024 年 1 月下旬 (以前は 12 月下旬) までに完了する予定です。

[これが組織に及ぼす影響:]

次の新しい Microsoft Entra (AAD) の推奨事項が、Microsoft セキュア スコアの改善アクションとして追加されます。

• 管理者に「フィッシング耐性のあるMFA強度」が必要であることを確認します。
• カスタムの禁止パスワードリストが使用されていることを確認します。

次の新しい Microsoft Sway の推奨事項が、Microsoft セキュア スコアの改善アクションとして追加されます。

• Sway を組織外のユーザーと共有できないようにする

次の新しいアトラシアン推奨事項が Microsoft セキュア スコアの改善アクションとして追加されます。

• 多要素認証 (MFA) を有効にします。
• シングル シング オン (SSO) を有効にします。
• 強力なパスワードポリシーを有効にします。
• Web ユーザーのセッション タイムアウトを有効にします。
• パスワードの有効期限ポリシーを有効にします。
• アトラシアン モバイル アプリのセキュリティ – ポリシーの影響を受けるユーザー。
• アトラシアン モバイル アプリのセキュリティ – アプリ データの保護。
• アトラシアン モバイル アプリのセキュリティ – アプリのアクセス要件。

次の新しいZendeskの推奨事項が、Microsoftセキュアスコアの改善アクションとして追加されます。

• 2要素認証(2FA)を有効にして採用します。
• 管理者、エージェント、エンドユーザーにパスワード変更に関する通知を送信します。
• IP 制限を有効にします。
• 顧客が IP 制限をバイパスするのをブロックします。
• 管理者とエージェントは、Zendesk Supportモバイルアプリを使用できます。
• Zendesk認証を有効にします。
• ユーザーのセッション タイムアウトを有効にします。
• ブロックアカウントの仮定。
• 管理者によるパスワードの設定をブロックします。

Okta とDocuSign のセキュリティに関する推奨事項の名前、機能、コンプライアンス条件が、Microsoftセキュアスコアの改善アクションとして更新されました。

このコントロールの名前 “サインイン頻度が有効で、管理ユーザーに対してブラウザー セッションが永続的でないことを確認する” は、”サインイン頻度が有効になっていて、管理ユーザーに対してブラウザー セッションが永続的でないことを確認する” に変更されます。

[準備に必要なこと:]

この変更に備えるために必要なアクションはなく、それに応じてスコアが更新されます。 Microsoft では、「Microsoft セキュリティ スコア」に記載されている改善アクションを確認することをお勧めします。 今後も、推奨されるセキュリティ改善アクションを継続的に追加していきます。