Microsoft Entra ID P2 ライセンスを所持する組織では、Microsoft Entra ID 保護のユーザー リスク検出を組み込んだ条件付きアクセス ポリシーを作成できます。 このポリシーを使用すると、エンド ユーザーは自己修復とブロック解除を行い、生産性を高めながら、ヘルプ デスクまたはセキュリティ運用チームに送信されるインシデントを減らすことができます。
ユーザーの除外
条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。
- ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされる可能性が低いシナリオでは、緊急アクセス管理者アカウントを使用してサインインし、アクセスを回復できます。
- 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
-
サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型アカウントです。 通常、アプリケーションへのプログラムによるアクセスを許可するためにバックエンド サービスによって使用されますが、管理目的でシステムにサインインするためにも使用されます。 サービス プリンシパルによって行われた呼び出しは、ユーザーを対象とする条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
- 組織がスクリプトまたはコードでこれらのアカウントを使用している場合は、 それらをマネージド ID に置き換えます。
Template deployment
組織は、以下で説明する手順に従うか、 条件付きアクセス テンプレートを使用して、このポリシーを展開できます。
リスクの緩和が必要
このリスク修復ポリシーは、パスワードベースのユーザーとパスワードレス ユーザーの両方を対象としています。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- Entra ID>Conditional Access に移動します。
- [新しいポリシー] を選択します。
- ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
-
[割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [Include](含める) で、 [すべてのユーザー] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- 完了 を選択します。
- [ ターゲット リソース>Include] で、[ すべてのリソース ] (以前の [すべてのクラウド アプリ]) を選択します。
-
[条件]>[ユーザー リスク] で、[構成] を [はい] に設定します。
- [ポリシーを適用するために必要なユーザー リスク レベルを構成する] で、[高] を選びます。 このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります
- 完了 を選択します。
-
[アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
- リスク修正を要求を選択します。 [Require authentication strength grant control]\(認証強度付与の制御が必要\) が自動的に選択されます。 組織に適した強度を選択します。
- [選択] を選びます。
- [ セッション] の [ サインイン頻度] - 毎回 がセッション コントロールとして自動的に適用され、必須です。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [ 作成] を 選択してポリシーを作成します。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。