Microsoft Entra ID 保護は、ワークロード ID を検出、調査、修復して、ユーザー ID に加えてアプリケーションとサービス プリンシパルを保護できます。
ワークロード ID は、アプリケーションがリソースにアクセスできるようにする ID であり、ユーザーのコンテキストでアクセスできる場合があります。 これらのワークロード ID は、従来のユーザー アカウントとは次の面で異なります:
- 多要素認証を実行できません。
- 通常、正式なライフサイクル プロセスがありません。
- 資格情報またはシークレットをどこかに保存する必要があります。
これらの違いによって、ワークロード ID の管理が難しくなり、侵害リスクが高くなります。
重要
ワークロード ID Premium のお客様は、完全なリスクの詳細とリスクベースのアクセス制御を利用できます。ただし、 ワークロード ID Premium ライセンスを持たないお客様は、レポートの詳細が制限された検出をすべて受け取ります。
注
ID Protection は、シングル テナント、Microsoft 以外の SaaS、マルチテナント アプリのリスクを検出します。 マネージド ID は現在スコープ内にありません。
前提条件
管理センターのリスク検出の [危険なワークロード ID ] や [ ワークロード ID 検出 ] タブなど、ワークロード ID リスク レポートを利用するには、次のものが必要です。
次のいずれかの管理者ロールが割り当てられます
条件付きアクセス管理者ロールが割り当てられているユーザーは、リスクを条件として使用するポリシーを作成できます。
リスクの高いワークロード ID に対してアクションを実行するには、 ワークロード ID Premium ライセンスが必要なリスクベースの条件付きアクセス ポリシーを設定することをお勧めします。ワークロード ID の表示、試用の開始、およびライセンスの取得を行うことができます。
注
Microsoft Security Copilot
ワークロード ID のリスク検出
サインイン時の動作やオフラインでの侵害の兆候からのワークロード ID のリスクを検します。
検出名 | 検出の種類 | 説明 | リスクイベントタイプ |
---|---|---|---|
Microsoft Entra の脅威インテリジェンス | オフライン | このリスク検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づいて既知の攻撃パターンに一致するアクティビティを示しています。 | 調査脅威インテリジェンス |
不審なサインイン | オフライン | このリスク検出は、このサービス プリンシパルにとって通常とは異なるサインイン プロパティまたはパターンを示します。 この検出は、テナント内のワークロード ID のベースライン サインイン動作を学習します。 この検出には、2 日から 60 日かかり、その後のサインイン時に 1 つ以上の見慣れないプロパティIP アドレス/ASN、ターゲットリソース、ユーザーエージェント、ホスティング/非ホスティング IP の変更、IP カントリー、資格証明の種類が現れた場合に警告を発します。 プログラムの性質上、ワークロードID サインインについては、特定のサインイン イベントにフラグを設定するのではなく、疑わしいアクティビティの timestamp を提供します。 承認された構成の変更後に開始されるサインインによって、この検出がトリガーされる場合があります。 | 不審なサインイン |
サービス プリンシパルがセキュリティ侵害されていることを管理者が確認しました | オフライン | この検出は、管理者が "危険なワークロード ID" UI で、または riskyServicePrincipals API を使用して、[セキュリティ侵害を確認しますか?] を選択したことを示します。 このアカウントに対するセキュリティが侵害されたことを確認した管理者を調べるには、アカウントのリスク履歴を (UI または API 経由で) 確認します。 | 管理者確認済サービスプリンシパル侵害 |
漏洩した資格情報 | オフライン | このリスク検出は、アカウントの有効な資格情報が漏洩したことを示します。 この漏洩は、他のユーザーが GitHub のパブリック コード アーティファクトで資格情報にチェックインしたとき、またはデータ侵害によって資格情報が漏洩したときに発生する可能性があります。 Microsoft の漏洩した資格情報サービスで、GitHub、ダーク ウェブ、ペースト サイト、またはその他のソースから資格情報が取得された場合は、有効な一致を見つけるために Microsoft Entra ID の現在の有効な資格情報に対してチェックされます。 | 漏洩した認証情報 |
悪意のあるアプリケーション | オフライン | この検出では、ID Protection のアラートとMicrosoft Defender for Cloud Appsを組み合わせて、Microsoft がサービス使用条件に違反したアプリケーションを無効にしたタイミングを示します。 アプリケーション の調査を行 うことをお勧めします。 注: これらのアプリケーションは、Microsoft Graph の関連DisabledDueToViolationOfServicesAgreement およびdisabledByMicrosoftStatus リソースの種類の プロパティに と表示されます。 将来的に組織で再度インスタンス化されないようにするために、これらのオブジェクトを削除することはできません。 |
悪意のあるアプリケーション |
疑わしいアプリケーション | オフライン | この検出は、ID Protection や Microsoft Defender for Cloud Apps のサービス使用条件に違反している可能性のあるアプリケーションを Microsoft が特定したが、無効にしていないことを示します。 アプリケーション の調査を行 うことをお勧めします。 | 疑わしいアプリケーション |
サービス プリンシパルの異常なアクティビティ | オフライン | このリスク検出では、Microsoft Entra ID での通常の管理サービス プリンシパルの動作がベースライン化され、ディレクトリに対する疑わしい変更などの異常な動作パターンが検出されます。 検出は、変更を行った管理サービス プリンシパルまたは変更されたオブジェクトに対してトリガーされます。 | 異常なサービスプリンシパル活動 |
疑わしい API トラフィック | オフライン | このリスク検出は、異常な GraphAPI トラフィックまたはディレクトリの列挙が発生したときに報告されます。 不審な API トラフィック検出は、サービス プリンシパルによる異常な偵察またはデータ流出を示している可能性があります。 | 不審なAPIトラフィック |
リスクの高いワークロード ID を特定する
組織は、次の 2 つのいずれかの場所で、リスクのフラグが立てられたワークロード ID を見つけられます。
- Microsoft Entra 管理センターに、少なくともセキュリティ閲覧者としてサインインします。
- ID 保護>リスクのあるワークロード ID に移動します。
Microsoft Graph API
Microsoft Graph API を使用して、危険なワークロード ID のクエリを実行することもできます。 ID Protection API には 2 つの新しいコレクションがあります。
riskyServicePrincipals
servicePrincipalRiskDetections
リスク データのエクスポート
組織は 、Microsoft Entra ID で診断設定 を構成して、リスク データを Log Analytics ワークスペースに送信したり、ストレージ アカウントにアーカイブしたり、イベント ハブにストリーミングしたり、SIEM ソリューションに送信したりすることで、データをエクスポートできます。
リスクベースの条件付きアクセスを使用してアクセス制御を適用する
ワークロード ID に条件付きアクセスを使用すると、ID 保護によって "危険な状態" としてマークされたときに選択した特定のアカウントのアクセスをブロックできます。ポリシーは、テナントに登録されているシングルテナント サービス プリンシパルに適用できます。 Microsoft 以外の SaaS、マルチテナント アプリ、マネージド ID は範囲外です。
ワークロード ID のセキュリティと回復性を向上させるうえで、ワークロード ID の継続的アクセス評価 (CAE) は強力なツールであり、条件付きアクセス ポリシーと検出されたリスク シグナルを即座に適用できます。 CAE 対応のファースト パーティ リソースにアクセスする CAE 対応の Microsoft 以外のワークロード ID には、継続的なセキュリティ チェックの対象となる 24 時間の Long Lived Token (LLT) が備わっています。 CAE のワークロード ID クライアントと現在の機能スコープの構成の詳細については、 ワークロード ID の CAE に関するドキュメントを参照してください。
リスクの高いワークロード ID の調査
ID Protection を使用すると、ワークロード IDのリスクを調査するために使用できる 2 種類のレポートが組織に提供されます。 これらのレポートは、リスクの高いワークロード ID と、ワークロード ID のリスク検出です。 すべてのレポートは、詳細な分析を行うために、イベントを .CSV 形式でダウンロードできます。
調査の際の重要な質問には以下のようなものがあります。
- アカウントに疑わしいサインインの動きはありますか?
- 資格情報に未承認の変更がありましたか?
- アカウントに対する疑わしい構成変更はありましたか?
- アカウントは不正なアプリケーション ロールを取得しましたか?
アプリケーションの Microsoft Entra セキュリティ運用ガイドには、調査領域に関する詳細なガイダンスが記載されています。
ワークロード ID が侵害されたかどうかを判断したら、アカウントのリスクを無視するか、リスクの高いワークロード ID レポートで侵害されたアカウントを確認する必要があります。 以後そのアカウントでサインインされないようにする場合は、"サービス プリンシパルを無効にする" を選択することもできます。
リスクの高いワークロード ID の修復
- サービス プリンシパルとアプリケーション オブジェクトのどちらに対しても、リスクの高いワークロード ID に割り当てられている資格情報をインベントリします。
- 新しい資格情報を作成します。 Microsoft では、x509 証明書の使用をお勧めします。
- 侵害された資格情報を削除します。 アカウントが危険にさらされている可能性がある場合は、既存のすべての資格情報を削除することをお勧めします。
- サービス プリンシパルがアクセスしている Azure KeyVault シークレットをローテーションして修復します。
Microsoft Entra Toolkit は、これらのアクションの一部を実行するのに役立つ PowerShell モジュールです。