次の方法で共有

スマート ロックアウトを使用して Azure AD B2C での資格情報攻撃を軽減

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください

資格情報攻撃は、リソースへの不正アクセスにつながります。 ユーザーが設定するパスワードは、適度に複雑である必要があります。 Azure AD B2C には、資格情報攻撃に対する軽減手法が用意されています。 軽減策には、ブルート フォース資格情報攻撃と辞書資格情報攻撃の検出が含まれます。 Azure Active Directory B2C (Azure AD B2C) は、さまざまなシグナルを使用して、要求の整合性を分析します。 Azure AD B2C は、対象ユーザーをハッカーやボットネットとインテリジェントに区別するように設計されています。

スマート ロックアウトのしくみ

Azure AD B2C では、高度な戦略を使用してアカウントをロックします。 アカウントは、要求の IP と入力されたパスワードに基づいてロックされます。 また、ロックアウト期間は、攻撃されている可能性に応じて長くなります。 パスワードが 10 回試行されなかった場合 (デフォルトの試行しきい値)、1 分間のロックアウトが発生します。 アカウントのロックが解除された後 (つまり、ロックアウト期間の満了後にアカウントが自動的にサービスによってロック解除された後) に次回ログインが失敗すると、ログインが失敗するたびに 1 分間のロックアウトが発生し、続行されます。 同じパスワードまたは類似のパスワードを繰り返し入力しても、複数回のログイン失敗とは見なされません。

この機能は 、ユーザー フロー、カスタム ポリシーROPC フローでサポートされています。 既定ではアクティブ化されているため、ユーザー フローやカスタム ポリシーで構成する必要はありません。

アカウントのロックを解除する

最初の 10 回のロックアウト期間は 1 分間です。 次の 10 回のロックアウト期間は、ロックアウト期間が 10 回になるごとに少し長くなり、期間が長くなります。 ロックアウトカウンタは、アカウントがロックされていない場合、ログインが成功するとゼロにリセットされます。 ロックアウト期間は最大 5 時間続く場合があります。 ユーザーは、ロックアウト期間が終了するまで待つ必要があります。 ただし、ユーザーはセルフサービス パスワード ユーザー フローを使用してロックを解除できます。

スマートロックアウト設定の管理

スマート ロックアウト設定 (ロックアウトしきい値を含む) を管理するには:

  1. Azure portal にサインインします。

  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。

  3. 左側のメニューで、 Azure AD B2C を選択します。 または、[ すべてのサービス ] を選択し、 Azure AD B2C を検索して選択します。

  4. [セキュリティ] で [認証方法 (プレビュー)] を選択し、[パスワード保護] を選択します。

  5. [カスタム スマート ロックアウト] で、目的のスマート ロックアウト設定を入力します。

    • ロックアウトのしきい値: アカウントが最初にロックアウトされるまでに許可されるサインイン試行の失敗回数。ロックアウト後の最初のサインインも失敗した場合、アカウントは再びロックされます。

    • ロックアウト期間 (秒): 各ロックアウトの最小期間 (秒単位)。 アカウントが繰り返しロックされると、この期間は長くなります。

      Azure ポータルの Microsoft Entra 設定のパスワード保護ページ
      パスワード保護設定でロックアウトしきい値を5に設定します

  6. 保存 を選択します。

スマートロックアウトのテスト

スマート ロックアウト機能では、多くの要素を使用してアカウントをロックするタイミングを決定しますが、主な要素はパスワード パターンです。 スマート ロックアウト機能では、パスワードのわずかなバリエーションがセットと見なされ、1 回の試行としてカウントされます。 例えば次が挙げられます。

  • 12456などのパスワード! そして1234567! (または newAccount1234 と newaccount1234) は非常に似ているため、アルゴリズムはそれらを人為的エラーと解釈し、1 回の試行としてカウントします。
  • 12456などパターンのバリエーションも大きめ! と ABCD2! は別々の試行としてカウントされます。

スマートロックアウト機能をテストするときは、入力するパスワードごとに特徴的なパターンを使用してください。 https://password-gen.com/ などのパスワード生成 Web アプリの使用を検討してください。

スマート ロックアウトのしきい値に達すると、アカウントがロックされている間、次のメッセージが表示されます : アカウントは不正使用を防ぐために一時的にロックされています。後でもう一度やり直してください。 エラー メッセージは、ローカライズできます。

スマート ロックアウトをテストする際、Microsoft Entra 認証サービスの地理的分散および負荷分散の性質により、サインイン要求はさまざまなデータセンターによって処理される可能性があります。 そのシナリオでは、ロックアウトはそれぞれの Microsoft Entra データセンターによって個別に追跡されるため、ロックアウトを発生させるために、定義されたロックアウトしきい値よりも多くの試行回数が必要になる場合があります。 ユーザーは、完全にロックアウトされるまでに、最大(threshold_limit * datacenter_count)回の不正な試行回数があります。詳細については、「 Azure グローバル インフラストラクチャ」を参照してください。

ロックアウトされたアカウントの表示

ロックアウトされたアカウントに関する情報を取得するには、Active Directory サインイン アクティビティ レポートを確認します。 [ステータス] で [失敗] を選択します。 サインイン エラー コード50053 でサインインの試行が失敗した場合は、アカウントがロックされていることを示します。

ロックアウトされたアカウントを示す Microsoft Entra サインイン レポートのセクション

Microsoft Entra ID でサインイン アクティビティ レポートを表示する方法については、「 サインイン アクティビティ レポートのエラー コード」を参照してください。