一般的な条件付きアクセス ポリシー: ユーザーリスクベースのパスワード変更

Microsoft では、研究者、法執行機関、Microsoft のさまざまなセキュリティ チーム、その他の信頼できる情報源と協力して、漏洩したユーザー名とパスワードのペアを調査しています。 Azure AD Premium P2 のライセンスを所持する組織では、Azure AD Identity Protection のユーザー リスク検出を組み込んだ条件付きアクセス ポリシーを作成できます。

このポリシーを構成できる場所は 2 つあります。1 つは条件付きアクセスで、もう 1 つは Identity Protection です。 拡張診断データ、レポート専用モードの統合、Graph API のサポート、ポリシーで他の条件付きアクセス属性 (サインインの頻度など) を使用する機能など、より多くのコンテキストを提供するときは、条件付きアクセス ポリシーを使用した構成をお勧めします。

テンプレートのデプロイ

組織は、このポリシーをデプロイするのに以下に示す手順を使用するか、条件付きアクセス テンプレート (プレビュー) を使用するかを選ぶことができます。

条件付きアクセス ポリシーを有効にする

1. Azure portal に、条件付きアクセス管理者、セキュリティ管理者、または全体管理者としてサインインします。
2. [Azure Active Directory][セキュリティ][条件付きアクセス] の順に移動します。
3. [新しいポリシー] を選択します。
4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [Include](含める) で、 [すべてのユーザー] を選択します。
   2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
6. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
7. [条件]>[ユーザー リスク] で、 [構成] を [はい] に設定します。
   1. [ポリシーを適用するために必要なユーザー リスク レベルを構成する] で、[高] を選びます。
   2. [完了] を選択します。
8. [アクセス制御]>[付与] で
   1. [アクセス権の付与]、[多要素認証を要求する]、[パスワードの変更を必須とする] を選びます。
   2. [選択] を選択します。
9. [セッション] で
   1. [サインインの頻度] を選択します。
   2. [毎回] が選択されていることを確認します。
   3. [選択] を選択します。
10. 設定を確認し、[ポリシーの有効化] を [レポート専用] に設定します。
11. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

次の手順

• 毎回の再認証を要求する
• リスクを修復してユーザーをブロック解除する
• Conditional Access common policies (条件付きアクセスの一般的なポリシー)
• サインイン リスクベースの条件付きアクセス
• 条件付きアクセスのレポート専用モードを使用した影響を判断する
• Simulate sign in behavior using the Conditional Access What If tool (条件付きアクセスの What If ツールを使用したサインイン動作のシミュレート)
• Azure Active Directory Identity Protection とは