Azure Active Directory Identity Protection の通知

Azure AD Identity Protection では、ユーザーのリスクとリスク検出の管理に役立つ 2 種類の自動通知電子メールが送信されます。

  • 危険な状態のユーザーが検出された電子メール
  • 週間ダイジェスト電子メール

この記事では、両方の通知メールの概要を説明します。

グループに割り当てられたロールに含まれているユーザーへの電子メールの送信はサポートされていません。

危険な状態のユーザーが検出された電子メール

危険な状態のアカウントが検出されると、Azure AD Identity Protection は [Users at risk detected](危険な状態のユーザーが検出されました) という件名のアラート メールを生成します。 このメールには、 リスクのフラグ付きユーザー レポートへのリンクが含まれます。 ベスト プラクティスとして、危険な状態のユーザーをすぐに調べる必要があります。

このアラートを構成すると、アラートを生成するユーザー リスク レベルを指定できます。 ユーザーのリスク レベルが、指定されたものに達するとメールが生成されます。 たとえば、ユーザー リスクが中になったら警告を出すようにポリシーを設定していて、ユーザー John のユーザー リスクのスコアが、リアルタイム サインイン リスクが原因で中リスクに移行した場合は、危険な状態のユーザーが検出されたというメールを受信します。 このユーザーに対して後続のリスク検出が行われ、それによってユーザー リスク レベルの計算が、指定されたリスク レベル (またはそれ以上) になった場合は、ユーザー リスク スコアが再計算されたときに、危険な状態のユーザーが検出されたという追加のメールを受け取ります。 たとえば、ユーザーが 1 月 1 日に中リスクに移行すると、中リスクのときに警告を出すように設定されている場合は、メール通知を受け取ります。 次に、同じユーザーに対して 1 月 5 日に新たなリスク検出が行われて、それも中リスクであり、ユーザー リスク スコアが再計算され、それでもまだ中だった場合は、新たなメール通知を受け取ります。

ただし、追加のメール通知が送信されるのは、(ユーザー リスク レベルの変更の原因となった) リスク検出の発生時刻が、最後のメールが送信されたときよりも最近である場合だけです。 たとえば、1 月 1 日の午前 5 時にユーザーがサインインし、リアルタイム リスクがないとします (つまり、そのサインインが原因でメールが生成されることはありません)。 10 分後の午前 5:10 に、同じユーザーがもう一度サインインし、リアルタイム リスクが高くなり、それによってユーザー リスク レベルが高に移行し、メールが送信されます。 その後、午前 5:15 に、午前 5 時に行われた元のサインインのオフライン リスク スコアが、オフライン リスク処理により高リスクに変わります。 最初のサインインの時刻は、既にメール通知をトリガーした 2 回目のサインインより前だったので、ユーザーにリスクのフラグが立てられたというもう 1 通のメールは送信されません。

メールの過負荷を防ぐために、メールを受信するのは、5 秒間に 1 通のみとなります。 この延期期間は、指定されたリスク レベルへ移行したユーザーが同じ 5 秒間に複数いた場合、その全員のリスク レベルの変化を集約した 1 通の電子メールが送信されることを意味します。

Azure AD Identity Protection を使用したユーザー エクスペリエンス」の記事で説明されているように、組織で自己修復を有効にしている場合は、調査を行う前に、ユーザーがリスクを修復できる可能性があります。 修復されている危険なユーザーおよび危険なサインインを確認するには、危険なユーザーまたは危険なサインインのいずれかのレポートの [リスクの状態] フィルターに "修復済み" を追加します。

危険な状態のユーザーが検出された電子メール

"リスクのあるユーザーが検出された警告" を構成する

管理者は以下を設定することができます。

  • このメールの生成をトリガーするユーザー リスク レベル - 既定では、リスク レベルは "高" リスクに設定されます。
  • このメールの受信者 - グローバル管理者、セキュリティ管理者、またはセキュリティ閲覧者のロールのユーザーは、この一覧に自動的に追加されます。 各ロールの最初の 20 人のメンバーに、メールの送信が試みられます。 ユーザーがこれらのロールのいずれかにオンデマンドで昇格するように PIM に登録されている場合は、メールが送信される時点で昇格されている場合にのみメールを受け取ります
    • 必要に応じて、ここでカスタム メールを追加することができます。定義されているユーザーは、Azure portal でリンク レポートを表示するには適切なアクセス許可が必要です。

"危険な状態のユーザー" メールは、Azure portal[Azure Active Directory]>[セキュリティ]>[Identity Protection]>[リスクのあるユーザーが検出された警告] で構成します。

週間ダイジェスト電子メール

週間ダイジェスト電子メールには、新しいリスク検出の概要が含まれます。
次の情報が含まれます。

  • 新しい危険なユーザーが検出されました
  • 新しい危険なサインインが検出されました (リアルタイムで)
  • Identity Protection の関連するレポートへのリンク

週間ダイジェスト電子メール

グローバル管理者、セキュリティ管理者、またはセキュリティ閲覧者のロールのユーザーは、この一覧に自動的に追加されます。 各ロールの最初の 20 人のメンバーに、メールの送信が試みられます。 ユーザーがこれらのロールのいずれかにオンデマンドで昇格するように PIM に登録されている場合は、メールが送信される時点で昇格されている場合にのみメールを受け取ります

週刊ダイジェストの電子メールを構成する

管理者は、週刊ダイジェストの電子メールの送信を有効にしたり無効にしたりできるほか、メールの受信者として割り当てるユーザーを選択することができます。

週刊ダイジェストの電子メールは、Azure portal[Azure Active Directory]>[セキュリティ]>[Identity Protection]>[週刊ダイジェスト] で構成します。

関連項目