Azure Active Directory Identity Protection とはWhat is Azure Active Directory Identity Protection?

Identity Protection は、組織が次の 3 つの主要なタスクを実行できるツールです。Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • ID ベースのリスクの検出と修復を自動化します。Automate the detection and remediation of identity-based risks.
  • ポータルのデータを使用してリスクを調査します。Investigate risks using data in the portal.
  • 詳細な分析のために、サードパーティ製ユーティリティにリスク検出データをエクスポートします。Export risk detection data to third-party utilities for further analysis.

Identity Protection は、Azure AD により組織について、Microsoft アカウントによりコンシューマー領域について、そして Xbox によりゲームについて得られた学習内容を使用して、ユーザーを保護します。Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft は、脅威を特定し顧客を保護するために、1 日あたり 6 兆 5000 億の信号を分析します。Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

Identity Protection によって生成された信号、受信した信号は、条件付きアクセスなどのツールにさらに送信してアクセスに関する決定を行うことができます。また、セキュリティ情報とイベント管理 (SIEM) ツールに送り戻して、組織の適用するポリシーに基づく詳細な調査を行うこともできます。The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

自動化が重要な理由Why is automation important?

Microsoft の ID セキュリティと保護チームを主導する Alex Weinert による 2018 年 10 月のブログ記事では、イベントのボリュームを処理するときに自動化が非常に重要な理由について説明しています。In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

機械学習およびヒューリスティック システムは、毎日 8 億の異なるアカウントに対して 180 億回のログイン試行のリスクスコアを提供します。そのうち 3 億は、明らかに敵対者 (例: 犯罪アクター、ハッカー) によるものです。Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

昨年の Ignite では、ID システムが受ける上位 3 つの攻撃について説明しました。At Ignite last year, I spoke about the top 3 attacks on our identity systems. これらの攻撃の最近のボリュームは次のとおりですHere is the recent volume of these attacks

  • 侵害のリプレイ:2018 年 5 月に 46 億件の攻撃を検出Breach replay: 4.6BN attacks detected in May 2018
  • パスワード スプレー:2018 年 4 月に 35 万件Password spray: 350k in April 2018
  • フィッシング:これは正確に定量化するのは困難ですが、2018 年 3 月には 2,300 万件のリスクイベントがあり、その多くはフィッシング関連ですPhishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

リスクの検出と修復Risk detection and remediation

Identity Protection は、次の分類のリスクを識別します。Identity Protection identifies risks in the following classifications:

リスク検出の種類Risk detection type 説明Description
特殊な移動Atypical travel ユーザーの最近のサインインに基づき特殊と判断された場所からのサインイン。Sign in from an atypical location based on the user's recent sign-ins.
匿名 IP アドレスAnonymous IP address 匿名の IP アドレスからのサインイン (例:Tor Browser、Anonymizer VPN)。Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
通常とは異なるサインイン プロパティUnfamiliar sign-in properties 指定されたユーザーで最近観察されていないプロパティを使用したサインイン。Sign in with properties we've not seen recently for the given user.
マルウェアにリンクした IP アドレスMalware linked IP address マルウェアにリンクした IP アドレスからのサインインSign in from a malware linked IP address
資格情報の漏洩Leaked Credentials このリスク検出は、ユーザーの有効な資格情報が漏洩したことを示しますThis risk detection indicates that the user's valid credentials have been leaked
Azure AD 脅威インテリジェンスAzure AD threat intelligence Microsoft の内部および外部の脅威インテリジェンス ソースが既知の攻撃パターンを特定しましたMicrosoft's internal and external threat intelligence sources have identified a known attack pattern

これらのリスクとその計算方法の詳細については、「リスクとは」を説明する記事を参照してください。More detail on these risks and how/when they are calculated can be found in the article, What is risk.

リスクシグナルは、Azure Multi-Factor Authentication の実行、セルフサービス パスワード リセットを使用したパスワードのリセット、管理者がアクションを実行するまでのブロックなど、修復作業をトリガーすることができます。The risk signals can trigger remediation efforts such as requiring users to: perform Azure Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

リスクの調査Risk investigation

管理者は検出内容を確認し、必要に応じて手動で操作を行うことができます。Administrators can review detections and take manual action on them if needed. Identity Protection では、管理者が調査に使用する 3 つの主要なレポートがあります。There are three key reports that administrators use for investigations in Identity Protection:

  • 危険なユーザーRisky users
  • リスクの高いサインインRisky sign-ins
  • リスク検出Risk detections

詳細については以下に関する記事を参照してください。リスクを調査する方法More information can be found in the article, How To: Investigate risk.

リスク データのエクスポートExporting risk data

Identity Protection からのデータを他のツールにエクスポートしてアーカイブしたり、さらに調査したり、関連付けしたりすることができます。Data from Identity Protection can be exported to other tools for archive and further investigation and correlation. Microsoft Graph ベースの API を使用すると、組織はこのデータを収集して、SIEM などのツールでさらに処理することができます。The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Identity Protection API へのアクセス方法の詳細については、「Azure Active Directory Identity Protection と Microsoft Graph の基本」を参照してくださいInformation about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Identity Protection の情報と Azure Sentinel の統合に関する情報については、「Azure AD Identity Protection からデータを接続する」を参照してください。Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.


Identity Protection にユーザーがにアクセスするためには、セキュリティ閲覧者、セキュリティ オペレーター、セキュリティ管理者、グローバル閲覧者、またはグローバル管理者である必要があります。Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

RoleRole できることCan do できないことCan't do
全体管理者Global administrator Identity Protection へのフル アクセスFull access to Identity Protection
セキュリティ管理者Security administrator Identity Protection へのフル アクセスFull access to Identity Protection ユーザーのパスワードをリセットするReset password for a user
セキュリティ オペレーターSecurity operator すべての Identity Protection レポートと [概要] ブレードを表示するView all Identity Protection reports and Overview blade

ユーザー リスクを無視し、安全なサインインを確認して、セキュリティ侵害を確認するDismiss user risk, confirm safe sign-in, confirm compromise
ポリシーを構成または変更するConfigure or change policies

ユーザーのパスワードをリセットするReset password for a user

アラートを構成するConfigure alerts
セキュリティ閲覧者Security reader すべての Identity Protection レポートと [概要] ブレードを表示するView all Identity Protection reports and Overview blade ポリシーを構成または変更するConfigure or change policies

ユーザーのパスワードをリセットするReset password for a user

アラートを構成するConfigure alerts

検出に関するフィードバックを送信するGive feedback on detections

現在のところ、セキュリティ オペレーター ロールでは危険なサインイン レポートにアクセスできません。Currently, the security operator role cannot access the Risky sign-ins report.

条件付きアクセス管理者は、条件としてサインイン リスクを考慮に入れるポリシーを作成することもできます。詳細については、「条件付きアクセス: 条件」を参照してください。Conditional Access administrators can also create policies that factor in sign-in risk as a condition, find more information in the article Conditional Access: Conditions.

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P2 ライセンスが必要です。Using this feature requires an Azure AD Premium P2 license. ご自分の要件に適したライセンスを確認するには、 Free、Office 365 アプリ、および Premium エディションの一般公開されている機能の比較に関するページをご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

機能Capability 詳細Details Azure AD Premium P2Azure AD Premium P2 Azure AD Premium P1Azure AD Premium P1 Azure AD Free / Office 365 アプリAzure AD Free / Office 365 Apps
リスク ポリシーRisk policies ユーザー リスク ポリシー (Identity Protection 経由)User risk policy (via Identity Protection) はいYes いいえNo いいえNo
リスク ポリシーRisk policies サインイン リスク ポリシー (Identity Protection または条件付きアクセス経由)Sign-in risk policy (via Identity Protection or Conditional Access) はいYes いいえNo いいえNo
セキュリティ レポートSecurity reports 概要Overview はいYes いいえNo いいえNo
セキュリティ レポートSecurity reports 危険なユーザーRisky users フル アクセスFull access 限定的な情報Limited Information 限定的な情報Limited Information
セキュリティ レポートSecurity reports リスクの高いサインインRisky sign-ins フル アクセスFull access 限定的な情報Limited Information 限定的な情報Limited Information
セキュリティ レポートSecurity reports リスク検出Risk detections フル アクセスFull access 限定的な情報Limited Information いいえNo
通知Notifications 危険な状態のユーザーが検出されたアラートUsers at risk detected alerts はいYes いいえNo いいえNo
通知Notifications 週間ダイジェストWeekly digest はいYes いいえNo いいえNo
MFA 登録ポリシーMFA registration policy はいYes いいえNo いいえNo

次のステップNext steps