クイック スタート:Azure Active Directory Identity Protection を使用して、セッションのリスクが検出されたときにアクセスをブロックするQuickstart: Block access when a session risk is detected with Azure Active Directory Identity Protection

環境を保護された状態で維持するために、疑わしいユーザーによるサインインをブロックすることができます。To keep your environment protected, you might want to block suspicious users from signing in. Azure Active Directory (Azure AD) Identity Protection では、各サインインを分析して、サインイン試行がユーザー アカウントの正当な所有者によって行われなかった可能性を算出します。Azure Active Directory (Azure AD) Identity Protection analyzes each sign-in and calculates the likelihood that a sign-in attempt was not performed by the legitimate owner of a user account. 可能性 (低、中、高) は、サインイン リスク レベルと呼ばれる計算値の形で示されます。The likelihood (low, medium, high) is indicated in form of a calculated value called sign-in risk level. サインイン リスクの条件を設定することで、特定のサインイン リスク レベルに応じたサインイン リスク条件付きアクセス ポリシーを構成できます。By setting the sign-in risk condition, you can configure a sign-in risk Conditional Access policy to respond to specific sign-in risk levels.

このクイック スタートでは、中以上のサインイン リスク レベルが検出されたときにサインインをブロックするサインイン リスク条件付きアクセス ポリシーを構成する方法を説明します。This quickstart shows how to configure a sign-in risk Conditional Access policy that blocks a sign-in when a medium and above sign-in risk level has been detected.

ポリシーの作成

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

前提条件Prerequisites

このチュートリアルのシナリオを完了するための要件を次に示します。To complete the scenario in this tutorial, you need:

  • Azure AD Premium P2 エディションへのアクセス - Azure AD Identity Protection は Azure AD Premium P2 の機能です。Access to an Azure AD Premium P2 edition - Azure AD Identity Protection is an Azure AD Premium P2 feature.
  • Identity Protection - このクイック スタートのシナリオでは Identity Protection を有効にする必要があります。Identity Protection - The scenario in this quickstart requires Identity Protection to be enabled. Identity Protection を有効にする方法がわからない場合は、「Azure Active Directory Identity Protection の有効化」を参照してください。If you don't know how to enable Identity Protection, see Enabling Azure Active Directory Identity Protection.
  • Tor Browser - Tor Browser は、オンラインでの自身のプライバシー保護に役立つことを目的としています。Tor Browser - The Tor Browser is designed to help you preserve your privacy online. Identity Protection は、Tor Browser からのサインインを、中程度のリスク レベルのある匿名 IP アドレスからのサインインとして検出します。Identity Protection detects a sign-in from a Tor Browser as sign-ins from anonymous IP addresses, which has a medium risk level. 詳細については、「Azure Active Directory リスク イベント」を参照してください。For more information, see Azure Active Directory risk events.
  • Alain Charon というテスト アカウント - テスト アカウントの作成方法がわからない場合は、新しいユーザーの追加に関するページを参照してください。A test account called Alain Charon - If you don't know how to create a test account, see Add a new user.

サインインをテストするTest your sign-in

この手順の目的は、Tor Browser を使用してテスト アカウントでテナントにアクセスできることを確認することです。The goal of this step is to make sure that your test account can access your tenant using the Tor Browser.

サインインをテストするには:To test your sign-in:

  1. Azure portalAlain Charon としてサインインします。Sign in to your Azure portal as Alain Charon.
  2. サインアウトします。Sign out.

条件付きアクセス ポリシーを作成するCreate your Conditional Access policy

このクイック スタートのシナリオでは、Tor Browser からのサインインを使用して、検出された匿名 IP アドレスからのサインインというリスク イベントを生成します。The scenario in this quickstart uses a sign-in from a Tor Browser to generate a detected Sign-ins from anonymous IP addresses risk event. このリスク イベントのリスク レベルは中です。The risk level of this risk event is medium. このリスク イベントに応答するには、サインイン リスクの条件を [中] に設定します。To respond to this risk event, you set the sign-in risk condition to medium.

このセクションでは、必要なサインイン リスク条件付きアクセス ポリシーを作成する方法について説明します。This section shows how to create the required sign-in risk Conditional Access policy. ポリシーに以下の内容を設定します。In your policy, set:

SettingSetting Value
ユーザーUsers Alain CharonAlain Charon
条件Conditions サインイン リスク、中以上Sign-in risk, Medium and above
コントロールControls アクセスのブロックBlock access

ポリシーの作成

条件付きアクセス ポリシーを構成するには:To configure your Conditional Access policy:

  1. Azure Portal に全体管理者としてサインインします。Sign in to your Azure portal as global administrator.
  2. [Azure AD Identity Protection] ページに移動します。Go to the Azure AD Identity Protection page.
  3. [Azure AD Identity Protection] ページの [構成] セクションで、 [サインインのリスク ポリシー] をクリックします。On the Azure AD Identity Protection page, in the Configure section, click Sign-in risk policy.
  4. ポリシー ページの [割り当て] セクションで、 [ユーザー] をクリックします。On the policy page, in the Assignments section, click Users.
  5. [ユーザー] ページで、 [ユーザーの選択] をクリックします。On the Users page, click Select users.
  6. [ユーザーの選択] ページで [Alain Charon] を選択し、 [選択] をクリックします。On the Select users page, select Alain Charon, and then click Select.
  7. [ユーザー] ページで、 [完了] をクリックします。On the Users page, click Done.
  8. ポリシー ページの [割り当て] セクションで、 [条件] をクリックします。On the policy page, in the Assignments section, click Conditions.
  9. [条件] ページで、 [サインイン リスク] をクリックします。On the Conditions page, click Sign-in risk.
  10. [サインイン リスク] ページで [Medium and above]/(中以上/) を選択し、 [選択] をクリックします。On the Sign-in risk page, select Medium and above, and then click Select.
  11. [条件] ページで、 [完了] をクリックします。On the Conditions page, click Done.
  12. ポリシー ページの [コントロール] セクションで、 [アクセス] をクリックします。On the policy page, in the Controls section, click Access.
  13. [アクセス] ページで [アクセスを許可] をクリックし、 [多要素認証を要求する] を選択して、 [選択] をクリックします。On the Access page, click Allow access, select Require multi-factor authentication, and then click Select.
  14. ポリシー ページで、 [保存] をクリックします。On the policy page, click Save.

条件付きアクセス ポリシーをテストするTest your Conditional Access policy

ポリシーをテストするには、Tor Browser を使用して、Alan Charon として Azure portal にサインインしてみます。To test your policy, try to sign-in to your Azure portal as Alan Charon using the Tor Browser. そのサインイン試行は、条件付きアクセス ポリシーによってブロックされる必要があります。Your sign-in attempt should be blocked by your Conditional Access policy.

多要素認証

リソースのクリーンアップClean up resources

不要になったら、テスト ユーザーと Tor Browser を削除し、サインイン リスク条件付きアクセス ポリシーを無効にします。When no longer needed, delete the test user, the Tor Browser and disable the sign-in risk Conditional Access policy: