Azure Active Directory ポータルのリスクの高いサインイン レポートRisky sign-ins report in the Azure Active Directory portal

Azure Active Directory (Azure AD) は、ユーザー アカウントに関連する疑わしい動作を検出します。Azure Active Directory (Azure AD) detects suspicious actions that are related to your user accounts. 検出された動作ごとに、"リスク検出" と呼ばれるレコードが作成されます。For each detected action, a record called a risk detection is created. 詳細については、Azure AD リスク検出に関する記事を参照してください。For more details, see Azure AD risk detections.

セキュリティ レポートには、Azure portal から [Azure Active Directory] ブレードを選択し、 [セキュリティ] セクションに移動することでアクセスできます。You can access the security reports from the Azure portal by selecting the Azure Active Directory blade and then navigating to the Security section.

リスク検出に基づいて計算されるセキュリティ レポートとして、次に示す異なる 2 つのレポートがあります。There are two different security reports that are calculated based on the risk detections:

  • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によって行われた可能性があるサインイン試行の指標です。Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

リスクの高いサインイン

これらのリスク検出をトリガーするポリシーを構成する方法については、ユーザー リスク ポリシーを構成する方法に関するページを参照してください。To learn how to configure the policies that trigger these risk detections, see How to configure the user risk policy.

リスクの高いサインイン レポートにアクセスできるユーザーWho can access the risky sign-ins report?

リスクの高いサインイン レポートは、次の役割のユーザーが利用できます。The risky sign-ins reports are available to users in the following roles:

  • セキュリティ管理者Security Administrator
  • グローバル管理者Global Administrator
  • セキュリティ閲覧者Security Reader

Azure Active Directory でユーザーに管理者ロールを割り当てる方法については、Azure Active Directory での管理者ロールの表示と割り当てに関するページを参照してください。To learn how to assign administrative roles to a user in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

セキュリティ レポートにアクセスするために必要な Azure AD ライセンスWhat Azure AD license do you need to access a security report?

"危険なサインイン" レポートは、Azure AD の全エディションで利用できます。All editions of Azure AD provide you with risky sign-ins reports. ただしエディションによってレポートの粒度が異なります。However, the level of report granularity varies between the editions:

  • Azure Active Directory Free エディションでは、危険なサインインの一覧を取得します。In the Azure Active Directory Free edition, you get a list of risky sign-ins.

  • 加えて、Azure Active Directory Premium 1 エディションでは、各レポートについて検出された、基になるリスク検出の一部を調べることができます。In addition, the Azure Active Directory Premium 1 edition allows you to examine some of the underlying risk detections that have been detected for each report.

  • Azure Active Directory Premium 2 エディションでは、基になるすべてのリスク検出について最も詳しい情報が得られます。また、構成されているリスク レベルに対して自動的に対応するセキュリティ ポリシーを構成することができます。The Azure Active Directory Premium 2 edition provides you with the most detailed information about all underlying risk detections and it also enables you to configure security policies that automatically respond to configured risk levels.

Azure AD の Free エディションにおける危険なサインイン レポートRisky sign-ins report for Azure AD free edition

Azure AD の Free エディションでは、管理しているユーザーに関して検出された、リスクの高いサインインの一覧を提供します。The Azure AD free edition provide you with a list of risky sign-ins that have been detected for your users. 各レコードには、次の属性が含まれています。Each record contains the following attributes:

  • ユーザー - サインイン操作中に使用されたユーザーの名前。User - The name of the user that was used during the sign-in operation.
  • IP - Azure Active Directory への接続に使用されたデバイスの IP アドレス。IP - The IP address of the device that was used to connect to Azure Active Directory.
  • 場所 - Azure Active Directory への接続に使用された場所。Location - The location used to connect to Azure Active Directory. これは、トレース、レジストリ データ、逆引き参照、およびその他の情報に基づくベスト エフォートに似ています。This is a best effort approximation based on traces, registry data, reverse look ups and other information.
  • サインイン時刻 - サインインが実行された時刻Sign-in time - The time when the sign-in was performed
  • 状態 - サインインの状態Status - The status of the sign-in

リスクの高いサインイン

リスクの高いサインインの調査に基づき、次のアクションを実行して Azure AD にフィードバックを提出できます。Based on your investigation of the risky sign-in, you can provide feedback to Azure AD by taking the following actions:

  • 解決Resolve
  • 誤検知に設定Mark as false positive
  • IgnoreIgnore
  • 再度有効にするReactivate

リスクの高いサインイン

また、このレポートでは、次の操作も利用できます。This report also provides you with an option to:

  • リソースの検索Search resources
  • レポート データのダウンロードDownload the report data

リスクの高いサインイン

Azure AD Premium エディションにおける危険なサインイン レポートRisky sign-ins report for Azure AD premium editions

Azure AD Premium エディションのリスクの高いサインイン レポートでは、次の情報を提供しています。The risky sign-ins report in the Azure AD premium editions provides you with:

  • 検出されたリスク検出の種類に関する集計情報。Aggregated information about the risk detection types that have been detected. Azure AD Premium P1 エディションでは、ライセンスに含まれない検出は、追加のリスクが検出されたサインインというリスク検出として表示されます。With the Azure AD Premium P1 edition, detections that are not covered by your license appear as the risk detection Sign-in with additional risk detected. Azure AD Premium P2 エディションでは、基になるすべての検出に関する最も詳細な情報を取得できます。With the Azure AD Premium P2 edition, you get the most detailed information about all underlying detections.

  • レポートをダウンロードするオプションAn option to download the report

リスクの高いサインイン

リスク検出を選択すると、そのリスク検出の詳細なレポート ビューが表示されます。そこから次の機能を利用できます。When you select a risk detection, you get a detailed report view for this risk detection that enables you to:

  • ユーザー リスク修復ポリシーを構成するオプションAn option to configure a user risk remediation policy

  • リスク検出についての検出のタイムラインを確認するReview the detection timeline for the risk detection

  • このリスク検出が検出されたユーザーの一覧を確認するReview a list of users for which this risk detection has been detected

  • リスク検出を手動で閉じる。Manually close risk detections.

リスクの高いサインイン

重要

場合によっては、サインイン レポートに対応するサインイン エントリがないリスク検出が見つかることがあります。Sometimes, you may find a risk detection without a corresponding sign-in entry in the sign-ins report. これは、Identity Protection が 対話型非対話型の両方のサインインのリスクを評価する一方、サインイン レポートには対話型サインインのみが表示されるためです。This is because Identity Protection evaluates risk for both interactive and non-interactive sign-ins, whereas the sign-ins report shows only the interactive sign-ins.

ユーザーを選択すると、そのユーザーの詳細なレポート ビューが表示されます。ここから次の機能を利用できます。When you select a user, you get a detailed report view for this user that enables you to:

  • [All sign-ins (すべてのサインイン)] ビューを開くOpen the All sign-ins view

  • ユーザーのパスワードをリセットするReset the user's password

  • すべてのイベントを閉じるDismiss all events

  • そのユーザーについて報告されたリスク検出を調査するInvestigate reported risk detections for the user.

リスクの高いサインイン

リスク検出を調査するには、一覧から 1 つ選択します。To investigate a risk detection, select one from the list.
これにより、このリスク検出の [詳細] ブレードが開きます。This opens the Details blade for this risk detection. [詳細] ブレードで、リスク検出を手動で閉じるか、手動で閉じたリスク検出を再アクティブ化することができます。On the Details blade, you have the option to either manually close a risk detection or reactivate a manually closed risk detection.

リスクの高いサインイン

次のステップNext steps