リスク ポリシーを構成して有効にする
前の記事「リスクベースのアクセス ポリシー」で学習したように、Microsoft Entra 条件付きアクセスには、設定できるリスク ポリシーが 2 種類あります。 これらのポリシーを使用すると、リスクへの対応を自動化し、リスクが検出されたときにユーザーが自己修復を行えるようにできます。
- サインイン リスク ポリシー
- ユーザー リスクのポリシー
許容されるリスク レベルの選択
組織は、ユーザー エクスペリエンスとセキュリティ態勢のバランスを考慮しながら、アクセスの制御に要求するリスクのレベルを決定する必要があります。
リスク レベル高でアクセスの制御を適用することを選択すると、ポリシーがトリガーされる回数が減り、ユーザーにとっての手間が最小限になります。 しかし、これは低と中のリスクをポリシーから排除するため、攻撃者が侵害された ID を悪用するのを防げない可能性があります。 必要なアクセスの制御に低いリスク レベルを選ぶと、発生するユーザー割り込みが増えます。
Identity Protection で構成済みのセキュリティで保護されたネットワークの場所を使用することで、リスクを検出して偽陽性を減らすことができます。
以下のポリシー構成には、危険なユーザーとサインインに対して再認証を要求するサインイン頻度セッション制御が含まれます。
リスク修復
組織は、リスクが検出された場合にアクセスをブロックすることを選択できます。 ブロックすると、正当なユーザーが必要な操作を実行できなくなる場合があります。 より適切な解決策は、Microsoft Entra の多要素認証とセキュリティで保護されたパスワード変更を使用して自己修復できるようにすることです。
警告
ユーザーは、修復が必要な状況に直面する前に Microsoft Entra 多要素認証に登録する必要があります。 オンプレミスからクラウドに同期されるハイブリッド ユーザーの場合は、ユーザーのパスワード ライトバックが有効になっている必要があります。 登録されていないユーザーはブロックされ、管理者の介入が必要になります。
危険なユーザー ポリシーの修復フローの外部でのパスワード変更 (パスワードが分かっていて、新しいパスワードに変更したい場合) は、セキュリティで保護されたパスワード変更の要件を満たしていません。
Microsoft の推奨
Microsoft は、以下のリスク ポリシー構成で組織を保護することを推奨しています。
- ユーザー リスクのポリシー
- ユーザーのリスク レベルが高のときは、セキュリティで保護されたパスワード変更を要求します。 ユーザーがパスワード ライトバックで新しいパスワードを作成してリスクを修復できるためには、その前に Microsoft Entra 多要素認証が必要です。
- サインインのリスク ポリシー
- サインイン リスク レベルが中または高のときは Microsoft Entra 多要素認証を要求し、ユーザーが登録済みの認証方法のいずれかを使って証明し、サインイン リスクを修復できるようにします。
リスク レベルが低い場合にアクセス制御を要求すると、中または高よりも多くの手間とユーザーへの割り込みが発生します。 安全なパスワード変更や多要素認証などの自己修復オプションの許可ではなく、アクセスのブロックを選択すると、ユーザーと管理者がさらに影響を受けます。 ポリシーを構成するときは、これらの選択をよく考えてください。
除外
ポリシーで、緊急時の管理者アカウントなどのユーザーを除外できます。 組織では、アカウントがどのように使用されているかに基づいて、特定のポリシーからその他のアカウントを除外する必要が生じるかもしれません。 除外を定期的に見直して、その適用を続行するかどうかを確認する必要があります。
ポリシーを有効にする
組織は、以下の手順を使用するか、条件付きアクセス テンプレートを使用して、条件付きアクセスにリスクベース ポリシーをデプロイすることを選択できます。
組織は、修復ポリシーを有効にする前に、すべてのアクティブなリスクを調査して修復する必要があります。
条件付きアクセスでのユーザー リスク ポリシー
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- 保護>条件付きアクセス を参照します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [完了] を選択します。
- [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
- [条件]>[ユーザー リスク] で、 [構成] を [はい] に設定します。
- [ポリシーを適用するために必要なユーザー リスク レベルを構成する] で、[高] を選びます。 (このガイダンスは Microsoft の推奨事項に基づいたものであり、組織によっては適切でない可能性があります)
- 完了 を選択します。
- [アクセス制御]>[付与] で
- [アクセス権の付与]、[多要素認証を要求する]、[パスワードの変更を必須とする] を選びます。
- [選択] を選択します。
- [セッション] で
- [サインインの頻度] を選択します。
- [毎回] が選択されていることを確認します。
- [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
条件付きアクセスでのサインイン リスク ポリシー
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- 保護>条件付きアクセス を参照します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
- [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [完了] を選択します。
- [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
- [条件]>[サインイン リスク] で、 [構成] を [はい] に設定します。 [このポリシーを適用するサインイン リスク レベルを選択する] で、以下の操作を実行します。 (このガイダンスは Microsoft の推奨事項に基づいたものであり、組織によっては適切でない可能性があります)
- [高] と [中] を選択します。
- [Done] を選択します。
- [アクセス制御]>[付与] で
- [アクセス権の付与] 、[多要素認証を要求する] を選択します。
- [選択] を選択します。
- [セッション] で
- [サインインの頻度] を選択します。
- [毎回] が選択されていることを確認します。
- [選択] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
リスク ポリシーを条件付きアクセスに移行する
警告
Microsoft Entra ID Protection で構成されたレガシ リスク ポリシーは、2026 年 10 月 1 日に廃止されます。
Microsoft Entra ID で有効なリスク ポリシーが存在する場合は、次のようにそれらを条件付きアクセスに移行することを計画する必要があります。
条件付きアクセスへの移行
- レポート専用モードの条件付きアクセスで、ユーザー リスク ベースとサインイン リスク ベースのポリシーの同等のものを作成します。 ポリシーは、Microsoft の推奨事項と組織の要件に基づき、上記の手順か、条件付きアクセス テンプレートを使用して作成することができます。
- レポート専用モードでテストすることにより、新しい条件付きアクセス リスク ポリシーが意図したとおりに動作することを確認します。
- 新しい条件付きアクセス リスク ポリシーを有効にします。 ID Protection リスク ポリシーをオフにする前に、両方のポリシーを並行して実行し、新しいポリシーが期待どおりに動作していることを確認することを選択できます。
- [保護]>[条件付きアクセス] に再度移動します。
- この新しいポリシーを選んで編集します。
- [ポリシーの有効化] を [オン] に設定して、ポリシーを有効にします
- ID Protection の古いリスク ポリシーを無効にします。
- [保護]>[Identity Protection] に移動し、[ユーザーのリスク] または [サインインのリスク] ポリシーを選択します。
- [ポリシーの適用] を [無効] に設定します
- 条件付きアクセスで必要な場合は、他のリスク ポリシーを作成します。