Azure Active Directory Identity Protection の通知
Azure AD Identity Protection では、ユーザーのリスクとリスク検出の管理に役立つ 2 種類の自動通知電子メールが送信されます。
- 危険な状態のユーザーが検出された電子メール
- 週間ダイジェスト電子メール
この記事では、両方の通知メールの概要を説明します。
グループに割り当てられたロールに含まれているユーザーへの電子メールの送信はサポートされていません。
危険な状態のユーザーが検出された電子メール
危険な状態のアカウントが検出されると、Azure AD Identity Protection は [Users at risk detected](危険な状態のユーザーが検出されました) という件名のアラート メールを生成します。 このメールには、 リスクのフラグ付きユーザー レポートへのリンクが含まれます。 ベスト プラクティスとして、危険な状態のユーザーをすぐに調べる必要があります。
このアラートを構成すると、アラートを生成するユーザー リスク レベルを指定できます。 ユーザーのリスク レベルが、指定されたものに達するとメールが生成されます。 たとえば、ユーザー リスクが中になったら警告を出すようにポリシーを設定していて、ユーザー John のユーザー リスクのスコアが、リアルタイム サインイン リスクが原因で中リスクに移行した場合は、危険な状態のユーザーが検出されたというメールを受信します。 このユーザーに対して後続のリスク検出が行われ、それによってユーザー リスク レベルの計算が、指定されたリスク レベル (またはそれ以上) になった場合は、ユーザー リスク スコアが再計算されたときに、危険な状態のユーザーが検出されたという追加のメールを受け取ります。 たとえば、ユーザーが 1 月 1 日に中リスクに移行すると、中リスクのときに警告を出すように設定されている場合は、メール通知を受け取ります。 次に、同じユーザーに対して 1 月 5 日に新たなリスク検出が行われて、それも中リスクであり、ユーザー リスク スコアが再計算され、それでもまだ中だった場合は、新たなメール通知を受け取ります。
ただし、追加のメール通知が送信されるのは、(ユーザー リスク レベルの変更の原因となった) リスク検出の発生時刻が、最後のメールが送信されたときよりも最近である場合だけです。 たとえば、1 月 1 日の午前 5 時にユーザーがサインインし、リアルタイム リスクがないとします (つまり、そのサインインが原因でメールが生成されることはありません)。 10 分後の午前 5:10 に、同じユーザーがもう一度サインインし、リアルタイム リスクが高くなり、それによってユーザー リスク レベルが高に移行し、メールが送信されます。 その後、午前 5:15 に、午前 5 時に行われた元のサインインのオフライン リスク スコアが、オフライン リスク処理により高リスクに変わります。 最初のサインインの時刻は、既にメール通知をトリガーした 2 回目のサインインより前だったので、ユーザーにリスクのフラグが立てられたというもう 1 通のメールは送信されません。
メールの過負荷を防ぐために、メールを受信するのは、5 秒間に 1 通のみとなります。 この延期期間は、指定されたリスク レベルへ移行したユーザーが同じ 5 秒間に複数いた場合、その全員のリスク レベルの変化を集約した 1 通の電子メールが送信されることを意味します。
「Azure AD Identity Protection を使用したユーザー エクスペリエンス」の記事で説明されているように、組織で自己修復を有効にしている場合は、調査を行う前に、ユーザーがリスクを修復できる可能性があります。 修復されている危険なユーザーおよび危険なサインインを確認するには、危険なユーザーまたは危険なサインインのいずれかのレポートの [リスクの状態] フィルターに "修復済み" を追加します。
"リスクのあるユーザーが検出された警告" を構成する
管理者は以下を設定することができます。
- このメールの生成をトリガーするユーザー リスク レベル - 既定では、リスク レベルは "高" リスクに設定されます。
- このメールの受信者 - グローバル管理者、セキュリティ管理者、またはセキュリティ閲覧者のロールのユーザーは、この一覧に自動的に追加されます。 各ロールの最初の 20 人のメンバーに、メールの送信が試みられます。 ユーザーがこれらのロールのいずれかにオンデマンドで昇格するように PIM に登録されている場合は、メールが送信される時点で昇格されている場合にのみメールを受け取ります。
- 必要に応じて、ここでカスタム メールを追加することができます。定義されているユーザーは、Azure portal でリンク レポートを表示するには適切なアクセス許可が必要です。
"危険な状態のユーザー" メールは、Azure portal の [Azure Active Directory]>[セキュリティ]>[Identity Protection]>[リスクのあるユーザーが検出された警告] で構成します。
週間ダイジェスト電子メール
週間ダイジェスト電子メールには、新しいリスク検出の概要が含まれます。
次の情報が含まれます。
- 新しい危険なユーザーが検出されました
- 新しい危険なサインインが検出されました (リアルタイムで)
- Identity Protection の関連するレポートへのリンク
グローバル管理者、セキュリティ管理者、またはセキュリティ閲覧者のロールのユーザーは、この一覧に自動的に追加されます。 各ロールの最初の 20 人のメンバーに、メールの送信が試みられます。 ユーザーがこれらのロールのいずれかにオンデマンドで昇格するように PIM に登録されている場合は、メールが送信される時点で昇格されている場合にのみメールを受け取ります
週刊ダイジェストの電子メールを構成する
管理者は、週刊ダイジェストの電子メールの送信を有効にしたり無効にしたりできるほか、メールの受信者として割り当てるユーザーを選択することができます。
週刊ダイジェストの電子メールは、Azure portal の [Azure Active Directory]>[セキュリティ]>[Identity Protection]>[週刊ダイジェスト] で構成します。