Azure Active Directory のスマート ロックアウトAzure Active Directory smart lockout

スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方法を使用して侵入しようとする悪意のあるユーザーのロックアウトを支援します。Smart lockout assists in locking out bad actors who are trying to guess your users’ passwords or use brute-force methods to get in. 有効なユーザーからのサインインを認識し、攻撃者や他の不明なソースからのユーザーと異なる方法で処理することができます。It can recognize sign-ins coming from valid users and treat them differently than ones of attackers and other unknown sources. スマート ロックアウトを使用することで、組織のユーザーは自分のアカウントへのアクセスを継続できるため、生産性を落とすことなく攻撃者をロックアウトできます。Smart lockout locks out the attackers, while letting your users continue to access their accounts and be productive.

既定のスマート ロックアウトでは、10 回試行に失敗した後、アカウントによるサインインの試行が 1 分間ロックされます。By default, smart lockout locks the account from sign-in attempts for one minute after 10 failed attempts. 後続のサインインの試行が失敗するたびに、アカウントは再度ロックされます。最初は 1 分間、後続の試行ではより長い時間ロックされます。The account locks again after each subsequent failed sign-in attempt, for one minute at first and longer in subsequent attempts.

スマート ロックアウトでは、直近 3 つの無効なパスワード ハッシュを追跡して、同じパスワードに対するロックアウト カウンターの増分を回避します。Smart lockout tracks the last three bad password hashes to avoid incrementing the lockout counter for the same password. 同じ無効なパスワードが複数回入力された場合、この動作によってアカウントがロックアウトされることはありません。If someone enters the same bad password multiple times, this behavior will not cause the account to lockout.

注意

認証はクラウドではなくオンプレミスで行われるため、パススルー認証を有効にしているお客様はハッシュ追跡機能を利用できません。Hash tracking functionality is not available for customers with pass-through authentication enabled as authentication happens on-premises not in the cloud.

スマート ロックアウトは、すべての Azure AD 顧客に既定として設定され、常に有効で、セキュリティとユーザビリティを適切な割合で提供します。Smart lockout is always on for all Azure AD customers with these default settings that offer the right mix of security and usability. スマート ロックアウト設定を組織固有の値にカスタマイズするには、ユーザーに Azure AD Basic 以上のライセンスが必要です。Customization of the smart lockout settings, with values specific to your organization, requires Azure AD Basic or higher licenses for your users.

スマート ロックアウトを使用しても、正規のユーザーが決してロックアウトされないことは保証されません。スマート ロックアウトによってユーザー アカウントがロックされた場合、マイクロソフトでは可能な限り正規ユーザーをロックアウトしないよう試みます。Using smart lockout does not guarantee that a genuine user will never be locked out. When smart lockout locks a user account, we try our best to not lockout the genuine user. ロックアウト サービスでは、悪意のあるアクターが正規のユーザー アカウントへのアクセス権を取得できないよう試みます。The lockout service attempts to ensure that bad actors can’t gain access to a genuine user account.

  • 各 Azure Active Directory データ センターでは、ロックアウトが個別に追跡されます。Each Azure Active Directory data center tracks lockout independently. ユーザーが各データ センターにアクセスする場合、そのユーザーの試行回数は (threshold_limit * datacenter_count) になります。A user will have (threshold_limit * datacenter_count) number of attempts, if the user hits each data center.
  • スマート ロックアウトでは、悪意のあるアクターと正規ユーザーを区別するために、既知の場所と未知の場所を使用します。Smart Lockout uses familiar location vs unfamiliar location to differentiate between a bad actor and the genuine user. 未知の場所と既知の場所の両方に、個別のロックアウト カウンターが設定されます。Unfamiliar and familiar locations will both have separate lockout counters.

スマート ロックアウトは、パスワード ハッシュ同期またはパススルー認証を使用するハイブリッド デプロイと統合でき、オンプレミスの Active Directory アカウントが攻撃者によってロックアウトされることを防止します。Smart lockout can be integrated with hybrid deployments, using password hash sync or pass-through authentication to protect on-premises Active Directory accounts from being locked out by attackers. Azure AD でスマート ロックアウト ポリシーを適切に設定することにより、オンプレミスの Active Directory に到達する前に攻撃を防止できます。By setting smart lockout policies in Azure AD appropriately, attacks can be filtered out before they reach on-premises Active Directory.

パススルー認証を使用する場合は、以下を確認してください。When using pass-through authentication, you need to make sure that:

  • Azure AD のロックアウトしきい値が、Active Directory アカウント ロックアウトしきい値より小さいThe Azure AD lockout threshold is less than the Active Directory account lockout threshold. Active Directory アカウント ロックアウトしきい値が Azure AD のロックアウトしきい値より少なくとも 2 - 3 倍長くなるように値を設定します。Set the values so that the Active Directory account lockout threshold is at least two or three times longer than the Azure AD lockout threshold.
  • Azure AD のロックアウト期間 (秒単位) が、Active Directory のロックアウト カウンターのリセットの期間 (分単位) より 長いThe Azure AD lockout duration in seconds is longer than the Active Directory reset account lockout counter after duration minutes.

重要

現時点では、ユーザーのクラウド アカウントがスマート ロックアウト機能によってロックされている場合、管理者はロックを解除できません。Currently an administrator can't unlock the users' cloud accounts if they have been locked out by the Smart Lockout capability. 管理者はロックアウト期間が期限切れになるまで待つ必要があります。The administrator must wait for the lockout duration to expire.

オンプレミス アカウントのロックアウト ポリシーを検証するVerify on-premises account lockout policy

次の指示に従って、オンプレミス Active Directory アカウントのロックアウト ポリシーを検証します。Use the following instructions to verify your on-premises Active Directory account lockout policy:

  1. グループ ポリシー管理ツールを開きます。Open the Group Policy Management tool.
  2. 組織のアカウント ロックアウト ポリシーを含む、グループ ポリシー (例: デフォルト ドメイン ポリシー) を編集します。Edit the group policy that includes your organization's account lockout policy, for example, the Default Domain Policy.
  3. [コンピューターの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [アカウント ポリシー] > [アカウント ロックアウト ポリシー] の順に移動します。Browse to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.
  4. [アカウント ロックアウトのしきい値][ロックアウト カウンターのリセット] の値を確認します。Verify your Account lockout threshold and Reset account lockout counter after values.

オンプレミス Active Directory アカウント ロックアウト ポリシーを変更する

Azure AD スマート ロックアウトの値を管理するManage Azure AD smart lockout values

組織の要件によっては、スマート ロックアウトの値をカスタマイズする必要があります。Based on your organizational requirements, smart lockout values may need to be customized. スマート ロックアウト設定を組織固有の値にカスタマイズするには、ユーザーに Azure AD Basic 以上のライセンスが必要です。Customization of the smart lockout settings, with values specific to your organization, requires Azure AD Basic or higher licenses for your users.

組織のスマート ロックアウト値を確認または編集するには、次の手順を実行します。To check or modify the smart lockout values for your organization, use the following steps:

  1. Azure Portal にサインインし、 [Azure Active Directory][認証方法] の順にクリックします。Sign in to the Azure portal, and click on Azure Active Directory, then Authentication Methods.
  2. 何回サインインに失敗したらアカウントがロックアウトされるかを基に [ロックアウトのしきい値] を設定します。Set the Lockout threshold, based on how many failed sign-ins are allowed on an account before its first lockout. 既定値は 10 です。The default is 10.
  3. [Lockout duration in seconds](秒単位のロックアウト期間) で、各ロックアウトの長さを秒単位で設定します。Set the Lockout duration in seconds, to the length in seconds of each lockout. 既定値は 60 秒 (1 分) です。The default is 60 seconds (one minute).

注意

ロックアウト後、はじめてのサインインにも失敗した場合は、アカウントは再度ロックアウトされます。If the first sign-in after a lockout also fails, the account locks out again. アカウントが繰り返しロックされた場合は、ロックアウト時間が長くなります。If an account locks repeatedly, the lockout duration increases.

Azure Portal で Azure AD スマート ロックアウト ポリシーをカスタマイズする

スマート ロックアウト機能が動作しているかどうかを確認する方法How to determine if the Smart lockout feature is working or not

スマート ロックアウトのしきい値がトリガーされると、アカウントがロックされているときに次のメッセージが表示されます。When the smart lockout threshold is triggered, you will get the following message while the account is locked:

ご使用のアカウントは、不正使用を防ぐために一時的にロックされています。後でもう一度お試しください。問題が解決しない場合は管理者にお問い合わせください。Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.

次の手順Next steps