方法:リスク ポリシーを構成して有効にする

前の記事「Identity Protection ポリシー」で説明したように、ディレクトリで有効にできるリスク ポリシーは 2 つあります。

  • サインインのリスク ポリシー
  • ユーザー リスクのポリシー

ユーザー リスク ポリシーとサインイン リスク ポリシーを有効にするためのセキュリティの [概要] ページ

どちらのポリシーも、環境内のリスク検出に対する応答を自動化し、リスクが検出されたときにユーザーが自己修復できるようにします。

許容されるリスク レベルの選択

組織は、ユーザー エクスペリエンスとセキュリティ態勢のバランスを考慮しつつ、受け入れることができるリスクのレベルを決定する必要があります。

Microsoft で推奨しているのは、ユーザー リスク ポリシーのしきい値を [高] に設定し、サインイン リスク ポリシーを [中以上] に設定して、自己修復オプションを許可することです。 パスワードの変更や多要素認証などの自己修復オプションの許可ではなく、アクセスのブロックを選択すると、ユーザーと管理者に影響が及びます。 ポリシーを構成するときは、この選択について十分検討してください。

しきい値を選択すると、ポリシーがトリガーされる回数が減り、ユーザーへの影響が最小限になります。 ただし、 [低][中] のリスク検出はポリシーから除外されるため、攻撃者が侵害された ID を悪用するのをブロックすることができない可能性があります。 [低] しきい値を選択すると、ユーザーによる割り込みがさらに発生します。

Identity Protection で構成済みのセキュリティで保護されたネットワークの場所を使用することで、リスクを検出して偽陽性を減らすことができます。

リスク修復

組織は、リスクが検出された場合にアクセスをブロックすることを選択できます。 ブロックすると、正当なユーザーが必要な操作を実行できなくなる場合があります。 より適切な解決策は、Azure AD Multi-Factor Authentication (MFA) およびセルフサービス パスワード リセット (SSPR) を使用して、自己修復を許可することです。

  • ユーザー リスク ポリシーがトリガーされた場合:
    • 管理者は、セキュリティで保護されたパスワード リセットを要求できます。この場合、ユーザーが SSPR を使用して新しいパスワードを作成する前に、Azure AD MFA が実行されるよう要求して、ユーザー リスクをリセットします。
  • サインイン リスク ポリシーがトリガーされた場合:
    • Azure AD MFA をトリガーできます。この場合、登録されている認証方法の 1 つを使用してユーザーが自分自身であることを証明できるようにして、サインイン リスクをリセットします。

警告

ユーザーは、修復が必要になる状況に直面する前に、Azure AD MFA と SSPR に登録する必要があります。 登録されていないユーザーはブロックされ、管理者の介入が必要になります。

危険なユーザー ポリシーの修復フローの外部でのパスワード変更 (パスワードが分かっていて、新しいパスワードに変更したい場合) は、セキュリティで保護されたパスワード リセットの要件を満たしていません。

除外

ポリシーで、緊急時の管理者アカウントなどのユーザーを除外できます。 組織は、アカウントの使用方法に基づいて、特定のポリシーから他のアカウントを除外することが必要になる場合があります。 除外を定期的に見直して、その適用を続行するかどうかを確認する必要があります。

ポリシーを有効にする

これらのポリシーを構成できる場所は 2 つあります。1 つは条件付きアクセスで、もう 1 つは Identity Protection です。 推奨される方法は、条件付きアクセス ポリシーを使用した構成です。これにより、以下を含むより多くのコンテキストが提供されます。

  • 拡張診断データ
  • レポート専用モードの統合
  • Graph API のサポート
  • ポリシーでのより多くの条件付きアクセス属性の使用

修復ポリシーを有効にする前に、組織でアクティブなリスクを調査して修復することが必要になる場合があります。

条件付きアクセスによるユーザー リスク

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーとグループ] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [Done] を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション) > [Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  7. [条件] > [ユーザー リスク] で、 [構成][はい] に設定します。
    1. [ポリシーを適用するために必要なユーザー リスク レベルを構成する] で、 [高] を選びます。
    2. [完了] を選択します。
  8. [アクセス制御] > [付与]
    1. [アクセス権の付与] 、[パスワードの変更を要求する] を選択します
    2. [選択] を選択します。
  9. 設定を確認し、 [ポリシーの有効化][オン] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

条件付きアクセスによるサインイン リスク

  1. Azure portal にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。
  2. [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] の順に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーとグループ] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [Done] を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション) > [Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  7. [条件] > [サインイン リスク] で、 [構成][はい] に設定します。 [このポリシーを適用するサインイン リスク レベルを選択します] で、以下の操作を実行します。
    1. [高][中] を選択します。
    2. [Done] を選択します。
  8. [アクセス制御] > [付与]
    1. [アクセス権の付与][多要素認証を要求する] を選択します。
    2. [選択] を選択します。
  9. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

次のステップ