一般的な条件付きアクセス ポリシー: サインイン リスク ベースの多要素認証

ほとんどのユーザーは、追跡できる正常な動作をしています。この規範から外れた場合は、そのユーザーにサインインを許可すると危険であることがあります。 そのユーザーをブロックしたり、多要素認証を実行してユーザーが本人であることを証明するように求めたりすることが必要な場合もあります。

サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。 Azure AD Premium P2 のライセンスを所持する組織では、Azure AD Identity Protection のサインイン リスク検出を組み込んだ条件付きアクセス ポリシーを作成できます。

このポリシーを構成できる場所は 2 つあります。1 つは条件付きアクセスで、もう 1 つは Identity Protection です。 拡張診断データ、レポート専用モードの統合、Graph API のサポート、ポリシーで他の条件付きアクセス属性 (サインインの頻度など) を使用する機能など、より多くのコンテキストを提供するときは、条件付きアクセス ポリシーを使用した構成をお勧めします。

サインイン リスクベースのポリシーを使用すると、ユーザーが危険なセッションで MFA を登録しないようにすることができます。 ユーザーが MFA に登録されていない場合、危険なサインインがブロックされ、AADSTS53004 エラーが表示されます。

テンプレートのデプロイ

組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレート (プレビュー) を使用するかを選ぶことができます。

条件付きアクセス ポリシーを有効にする

1. Azure portal に、条件付きアクセス管理者、セキュリティ管理者、または全体管理者としてサインインします。
2. [Azure Active Directory][セキュリティ][条件付きアクセス] の順に移動します。
3. [新しいポリシー] を選択します。
4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [Include](含める) で、 [すべてのユーザー] を選択します。
   2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
6. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
7. [条件]>[サインイン リスク] で、 [構成] を [はい] に設定します。 [このポリシーを適用するサインイン リスク レベルを選択する] で、以下の操作を実行します。
   1. [高] と [中] を選択します。
   2. [Done] を選択します。
8. [アクセス制御]>[付与] で
   1. [アクセス権の付与] 、[多要素認証を要求する] を選択します。
   2. [選択] を選択します。
9. [セッション] で
   1. [サインインの頻度] を選択します。
   2. [毎回] が選択されていることを確認します。
   3. [選択] を選択します。
10. 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
11. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

次の手順

• 毎回の再認証を要求する
• リスクを修復してユーザーをブロック解除する
• Conditional Access common policies (条件付きアクセスの一般的なポリシー)
• ユーザー リスクベースの条件付きアクセス
• 条件付きアクセスのレポート専用モードを使用した影響を判断する
• Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)
• Azure Active Directory Identity Protection とは