Azure Active Directory Identity Protection とはWhat is Azure Active Directory Identity Protection?

Azure Active Directory Identity Protection を使用して、組織は、ユーザー ID に関連して検出された疑わしいアクションに対する自動応答を構成できます。Azure Active Directory Identity Protection enables organizations to configure automated responses to detected suspicious actions related to user identities.

作業開始Get started

Microsoft は 10 年以上にわたってクラウド ベースの ID を保護してきました。Microsoft has secured cloud-based identities for more than a decade. Azure Active Directory Identity Protection を使用すると、お客様の環境で、Microsoft が使用する保護システムと同じものを使って、ID をセキュリティで保護できます。With Azure Active Directory Identity Protection, in your environment, you can use the same protection systems Microsoft uses to secure identities.

ほとんどのセキュリティ侵害は、攻撃者がユーザーの ID を盗むことにより環境にアクセスできるようになると発生します。The vast majority of security breaches take place when attackers gain access to an environment by stealing a user’s identity. 長年にわたって、攻撃者はサード パーティのセキュリティ違反をより巧妙に利用し、高度なフィッシング攻撃を使っています。Over the years, attackers have become increasingly effective in leveraging third-party breaches and using sophisticated phishing attacks. 低い特権のユーザー アカウントであってもアクセス権を得た攻撃者はすぐに、かつ比較的簡単に、横方向に移動し、重要な企業リソースにアクセスしてしまいます。As soon as an attacker gains access to even low privileged user accounts, it is relatively easy for them to gain access to important company resources through lateral movement.

このため、次が必要です。As a consequence of this, you need to:

  • 権限レベルにかかわらず、すべての ID を保護するProtect all identities regardless of their privilege level
  • 侵害された ID が悪用されるのを事前に防止するProactively prevent compromised identities from being abused

侵害された ID を検出するのは簡単な作業ではありません。Discovering compromised identities is no easy task. Azure Active Directory は、アダプティブ機械学習アルゴリズムとヒューリスティックを使用して、ID が侵害された可能性があることを示す、異常と疑わしいインシデントを検出します。Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect anomalies and suspicious incidents that indicate potentially compromised identities. Identity Protection は、このデータを使用してレポートとアラートを生成し、これにより、ユーザーは検出された問題を評価し、適切な修復または軽減のアクションを実行することができます。Using this data, Identity Protection generates reports and alerts that enable you to evaluate the detected issues and take appropriate mitigation or remediation actions.

Azure Active Directory Identity Protection は単なる監視とレポート作成のツールではありません。Azure Active Directory Identity Protection is more than a monitoring and reporting tool. 指定したリスク レベルに達したときに、検出された問題が自動的に対処されるようにリスク ベースのポリシーを構成することで、組織の ID を保護できます。To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. こうしたポリシーと、Azure Active Directory および Enterprise Mobility + Security (EMS) によって提供される他の条件付きアクセス コントロールにより、パスワードのリセットや多要素認証の適用などのアダプティブ修復アクションを自動的にブロックまたは開始できます。These policies, in addition to other Conditional Access controls provided by Azure Active Directory and Enterprise Mobility + Security (EMS), can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Identity Protection の機能Identity Protection capabilities

脆弱性とリスクの高いアカウントの検出:Detecting vulnerabilities and risky accounts:

  • 脆弱性を目立たせることにより全体的なセキュリティ対策を向上させるためのカスタム推奨事項を提供しますProviding custom recommendations to improve overall security posture by highlighting vulnerabilities
  • サイン インのリスク レベルを計算しますCalculating sign-in risk levels
  • ユーザーのリスク レベルを計算しますCalculating user risk levels

リスク イベントの調査:Investigating risk events:

  • リスク イベントの通知を送信しますSending notifications for risk events
  • 関連情報とコンテキスト情報を使用してリスク イベントを調査しますInvestigating risk events using relevant and contextual information
  • 調査を追跡するための基本的なワークフローを提供しますProviding basic workflows to track investigations
  • パスワード リセットなどの修復アクションへの簡単なアクセスを提供しますProviding easy access to remediation actions such as password reset

リスクに基づく条件付きアクセス ポリシー:Risk-based Conditional Access policies:

  • サインインのブロックまたは多要素認証チャレンジの要求によりリスクの高いサインインを抑制するポリシーPolicy to mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges
  • リスクの高いユーザー アカウントをブロックまたはセキュリティ保護するためのポリシーPolicy to block or secure risky user accounts
  • 多要素認証用に登録するようユーザーに要求するポリシーPolicy to require users to register for multi-factor authentication

Identity Protection のロールIdentity Protection roles

Identity Protection 実装の管理アクティビティの負荷を分散するため、いくつかのロールを割り当てることができます。To load balance the management activities around your Identity Protection implementation, you can assign several roles. Azure AD Identity Protection は、3 つのディレクトリ ロールをサポートします。Azure AD Identity Protection supports 3 directory roles:

RoleRole できることCan do できないことCannot do
全体管理者Global administrator Identity Protection へのフル アクセス、Identity Protection の配布準備Full access to Identity Protection, Onboard Identity Protection
セキュリティ管理者Security administrator Identity Protection へのフル アクセスFull access to Identity Protection Identity Protection の配布準備、ユーザーのパスワードのリセットOnboard Identity Protection, reset passwords for a user
セキュリティ閲覧者Security reader Identity Protection への読み取り専用アクセスRead-only access to Identity Protection Identity Protection の配布準備、ユーザーの修復、ポリシーの構成、パスワードのリセットOnboard Identity Protection, remediate users, configure policies, reset passwords

詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。For more details, see Assigning administrator roles in Azure Active Directory

検出Detection

脆弱性Vulnerabilities

Azure Active Directory Identity Protection は、構成を分析し、ユーザーの ID に影響する可能性がある脆弱性を検出します。Azure Active Directory Identity Protection analyses your configuration and detects vulnerabilities that can have an impact on your user's identities. 詳細については、「Azure Active Directory Identity Protection で検出される脆弱性」を参照してください。For more details, see Vulnerabilities detected by Azure Active Directory Identity Protection.

リスク イベントRisk events

Azure Active Directory は、アダプティブ機械学習アルゴリズムとヒューリスティックを使用して、ユーザーの ID に関連する疑わしいアクションを検出します。Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect suspicious actions that are related to your user's identities. 疑わしいアクションが検出されると、アクションごとにレコードが作成されます。The system creates a record for each detected suspicious action. こうしたレコードは、リスク イベントとも呼ばれます。These records are also known as risk events.
詳細については、「Azure Active Directory risk events (Azure Active Directory リスク イベント)」を参照してください。For more details, see Azure Active Directory risk events.

調査Investigation

Identity Protection を使用するときは、通常、Identity Protection ダッシュボードから開始します。Your journey through Identity Protection typically starts with the Identity Protection dashboard.

修復Remediation

ダッシュボードからは次のものにアクセスできます。The dashboard gives you access to:

  • リスクのフラグ付きユーザーリスク イベント脆弱性などのレポートReports such as Users flagged for risk, Risk events and Vulnerabilities
  • セキュリティ ポリシー通知多要素認証の登録の構成などの設定Settings such as the configuration of your Security Policies, Notifications and multi-factor authentication registration

通常、これが調査の起点になります。調査は、修復または軽減の手順が必要であるかどうかを決定し、ID が侵害を受けているかどうか、およびどのように侵害されたかを理解し、侵害された ID がどのように使用されたかを理解するために、アクティビティ、ログ、およびリスク イベントに関連するその他の関連情報を確認するプロセスです。It is typically your starting point for investigation, which is the process of reviewing the activities, logs, and other relevant information related to a risk event to decide whether remediation or mitigation steps are necessary, and how the identity was compromised, and understand how the compromised identity was used.

調査アクティビティを、Azure Active Directory Protection が電子メールごとに送信する 通知 と関連付けることができます。You can tie your investigation activities to the notifications Azure Active Directory Protection sends per email.

ポリシーPolicies

応答の自動化の実装に、Azure Active Directory Identity Protection では、次の 3 つのポリシーを用意しています。To implement automated responses, Azure Active Directory Identity Protection provides you with three policies:

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

次の手順Next steps