方法:サインイン リスク ポリシーを構成するHow To: Configure the sign-in risk policy

Azure Active Directory で検出されるリスク イベントの種類の中には、リアルタイムとオフラインがあります。Azure Active Directory detects risk event types in real-time and offline. ユーザーのサインイン時に検出されたの各リスク イベントは、リスクの高いサインインと呼ばれる論理概念に関係します。Each risk event that has been detected for a sign-in of a user contributes to a logical concept called risky sign-in. リスクの高いサインインは、サインイン試行が、ユーザー アカウントの正当な所有者によって行われていない可能性があることを示します。A risky sign-in is an indicator for a sign-in attempt that might not have been performed by the legitimate owner of a user account.

サインイン リスク ポリシーとはWhat is the sign-in risk policy?

Azure AD は、ユーザーの各サインインを分析します。Azure AD analyzes each sign-in of a user. この分析の目的は、サインインに付随する疑わしいアクションを検出することです。The objective of the analysis is to detect suspicious actions that come along with the sign-in. たとえば、匿名 IP アドレスを使用して実行されたサインインや、なじみのない場所から開始されたサインインがあります。For example, is the sign-in done using an anonymous IP address, or is the sign-in initiated from an unfamiliar location? Azure AD では、システムが検出できる疑わしいアクションをリスク イベントとも呼びます。In Azure AD, the suspicious actions the system can detect are also known as risk events. サインイン中に検出されたリスク イベントに基づいて、Azure AD は値を計算します。Based on the risk events that have been detected during a sign-in, Azure AD calculates a value. この値は、サインインが正当なユーザーによって実行されていない確率 (低、中、高) を表します。The value represents the probability (low, medium, high) that the sign-in is not performed by the legitimate user. この確率はサインイン リスク レベルと呼ばれます。The probability is called sign-in risk level.

サインイン リスク ポリシーは、特定のサインイン リスク レベルに対して構成できる自動対応です。The sign-in risk policy is an automated response you can configure for a specific sign-in risk level. この対応では、リソースへのアクセスをブロックするか、またはアクセスを取得するには多要素認証 (MFA) チャレンジの指定を要求するようにできます。In your response, you can block access to your resources or require passing a multi-factor authentication (MFA) challenge to gain access.

サインイン リスク ポリシーにアクセスする方法How do I access the sign-in risk policy?

サインイン リスク ポリシーは、[Azure AD Identity Protection] ページの [構成] セクションにあります。The sign-in risk policy is in the Configure section on the Azure AD Identity Protection page.

サインインのリスク ポリシーSign-in risk policy

ポリシー設定Policy settings

サインイン リスク ポリシーを構成する場合は、次を設定する必要があります。When you configure the sign-in risk policy, you need to set:

  • ポリシーの適用先のユーザーとグループ:The users and groups the policy applies to:

    ユーザーとグループ

  • ポリシーをトリガーするサインイン リスク レベル:The sign-in risk level that triggers the policy:

    サインインのリスク レベル

  • サインイン リスク レベルが満たされたときに適用されるアクセスの種類:The type of access you want to be enforced when your sign-in risk level has been met:

    Access

  • ポリシーの状態:The state of your policy:

    ポリシーを適用する

ポリシーの構成ダイアログには、再構成の影響を見積もるためのオプションが用意されています。The policy configuration dialog provides you with an option to estimate the impact of reconfiguration.

推定される影響

知っておくべきことWhat you should know

MFA を要求するようにサインイン リスク セキュリティ ポリシーを構成できます。You can configure a sign-in risk security policy to require MFA:

Require MFA (MFA が必須)

ただし、セキュリティ上の理由から、この設定は既に MFA に登録されているユーザーに対してのみ機能します。However, for security reasons, this setting only works for users that have already been registered for MFA. ID 保護では、ユーザーがまだ MFA に登録されていない場合、MFA の要件でそのユーザーをブロックします。Identity protection blocks users with an MFA requirement if they are not registered for MFA yet.

リスクの高いサインインに対して MFA を要求する場合は、次のことを行う必要があります。If you want to require MFA for risky sign-ins, you should:

  1. 影響を受けるユーザーの多要素認証の登録ポリシーを有効にします。Enable the multi-factor authentication registration policy for the affected users.

  2. 影響を受けるユーザーに対して、リスクのないセッションにサインインして MFA の登録を実行するように求めます。Require the affected users to sign in to a non-risky session to perform an MFA registration.

上記の手順を完了すると、リスクの高いサインインには多要素認証が必要になります。Completing these steps ensures that multi-factor authentication is required for a risky sign-in.

サインイン リスク ポリシーは次のように使用されます。The sign-in risk policy is:

  • 最新の認証を使用するすべてのブラウザー トラフィックとサインインに適用されます。Applied to all browser traffic and sign-ins using modern authentication.

  • ADFS などのフェデレーション IDP で WS-Trust エンドポイントを無効にすることによって従来のセキュリティ プロトコルを使用するアプリケーションには適用されません。Not applied to applications using older security protocols by disabling the WS-Trust endpoint at the federated IDP, such as ADFS.

関連するユーザー エクスペリエンスの概要については、以下を参照してください。For an overview of the related user experience, see:

ベスト プラクティスBest practices

しきい値を選択すると、ポリシーがトリガーされる回数が減り、ユーザーへの影響が最小限になります。Choosing a High threshold reduces the number of times a policy is triggered and minimizes the impact to users.

ただし、およびレベルのリスクのフラグ付きサインインはポリシーから除外されるため、攻撃者が侵害された ID を悪用するのをブロックすることはできません。However, it excludes Low and Medium sign-ins flagged for risk from the policy, which may not block an attacker from exploiting a compromised identity.

ポリシーを設定するときは次のようにします。When setting the policy,

  • 多要素認証を使用しない/できないユーザーを除外します。Exclude users who do not/cannot have multi-factor authentication

  • ポリシーを有効にするのが実際的でないロケールのユーザー (ヘルプデスクにアクセスできないユーザーなど) を除外します。Exclude users in locales where enabling the policy is not practical (for example no access to helpdesk)

  • 多数の誤検知を生成する可能性があるユーザー (開発者、セキュリティ アナリスト) を除外します。Exclude users who are likely to generate many false-positives (developers, security analysts)

  • 初期のポリシー展開中、またはエンド ユーザーに表示されるチャレンジを最小限に抑える必要がある場合は、 [高] しきい値を使用します。Use a High threshold during initial policy roll-out, or if you must minimize challenges seen by end users.

  • 組織のセキュリティを強化する必要がある場合は、しきい値を使用します。Use a Low threshold if your organization requires greater security. しきい値を選択すると、追加のユーザー サインイン チャレンジが導入されますが、セキュリティは強化されます。Selecting a Low threshold introduces additional user sign-in challenges, but increased security.

ほとんどの組織に対する既定の設定として、 しきい値の規則を構成し、使いやすさとセキュリティのバランスを取ることをお勧めします。The recommended default for most organizations is to configure a rule for a Medium threshold to strike a balance between usability and security.

次の手順Next steps

Azure AD Identity Protection の概要を入手するには、Azure AD Identity Protection の概要に関するページを参照してください。To get an overview of Azure AD Identity Protection, see the Azure AD Identity Protection overview.