リスク ポリシーを構成して有効にする

  • [アーティクル]

前の記事「リスクベースのアクセス ポリシー」で説明したように、Azure Active Directory (Azure AD) の条件付きアクセスには、リスクへの対応を自動化し、リスクが検出されたときにユーザーが自己修復できるようにするために設定できる、2 種類のリスク ポリシーがあります。

  • サインインのリスク ポリシー
  • ユーザー リスクのポリシー

条件としてリスクを示す条件付きアクセス ポリシーのスクリーンショット。

許容されるリスク レベルの選択

組織は、ユーザー エクスペリエンスとセキュリティ態勢のバランスを考慮しながら、アクセスの制御に要求するリスクのレベルを決定する必要があります。

高いリスク レベルでアクセスの制御を適用することを選択すると、ポリシーがトリガーされる回数が減り、ユーザーへの影響が最小限になります。 一方、のリスクはポリシーから除外されるため、攻撃者が侵害された ID を悪用するのをブロックできない可能性があります。 必要なアクセスの制御に低いリスク レベルを選ぶと、発生するユーザー割り込みが増えます。

Identity Protection で構成済みのセキュリティで保護されたネットワークの場所を使用することで、リスクを検出して偽陽性を減らすことができます。

リスク修復

組織は、リスクが検出された場合にアクセスをブロックすることを選択できます。 ブロックすると、正当なユーザーが必要な操作を実行できなくなる場合があります。 より適切な解決策は、Azure AD の多要素認証 (MFA) とセキュリティで保護されたパスワード変更を使って、自己修復できるようにすることです。

警告

ユーザーは、修復が必要になる状況に直面する前に、Azure AD MFA に登録する必要があります。 オンプレミスからクラウドに同期されるハイブリッド ユーザーの場合は、ユーザーのパスワード ライトバックが有効になっている必要があります。 登録されていないユーザーはブロックされ、管理者の介入が必要になります。

危険なユーザー ポリシーの修復フローの外部でのパスワード変更 (パスワードが分かっていて、新しいパスワードに変更したい場合) は、セキュリティで保護されたパスワード変更の要件を満たしていません。

Microsoft の推奨

Microsoft は以下のリスク ポリシー構成で組織を保護することをお勧めします。

  • ユーザー リスクのポリシー
    • ユーザーのリスク レベルがのときは、セキュリティで保護されたパスワード変更を要求します。 ユーザーがパスワード ライトバックで新しいパスワードを作成してリスクを修復できるためには、その前に Azure AD MFA が必要です。
  • サインインのリスク ポリシー
    • サインイン リスク レベルがまたはのときは Azure AD MFA を要求し、ユーザーが登録済みの認証方法のいずれかを使って証明し、サインイン リスクを修復できるようにします。

リスク レベルが低のときにアクセスの制御を要求すると、より多くのユーザー割り込みが発生します。 セキュリティ保護されたパスワード変更や多要素認証などの自己修復オプションの許可ではなく、アクセスのブロックを選ぶと、ユーザーと管理者が影響を受けます。 ポリシーを構成するときは、これらの選択をよく考えてください。

除外

ポリシーで、緊急時の管理者アカウントなどのユーザーを除外できます。 組織は、アカウントの使用方法に基づいて、特定のポリシーから他のアカウントを除外することが必要になる場合があります。 除外を定期的に見直して、その適用を続行するかどうかを確認する必要があります。

ポリシーを有効にする

組織は、以下の手順を使って条件付きアクセスでリスク ベースのポリシーをデプロイするか、条件付きアクセス テンプレート (プレビュー) を使うかを選ぶことができます。

修復ポリシーを有効にする前に、組織はアクティブなリスクを調査して修復することが必要になる場合があります。

条件付きアクセスでのユーザー リスク ポリシー

  1. Azure portal に、条件付きアクセス管理者、セキュリティ管理者、または全体管理者としてサインインします。
  2. [Azure Active Directory][セキュリティ][条件付きアクセス] の順に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [Done] を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  7. [条件]>[ユーザー リスク] で、 [構成][はい] に設定します。
    1. [ポリシーを適用するために必要なユーザー リスク レベルを構成する] で、[高] を選びます。 (このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります)
    2. [Done] を選択します。
  8. [アクセス制御]>[付与]
    1. [アクセス権の付与][多要素認証を要求する][パスワードの変更を必須とする] を選びます。
    2. [選択] を選択します。
  9. [セッション]
    1. [サインインの頻度] を選択します。
    2. [毎回] が選択されていることを確認します。
    3. [選択] を選択します。
  10. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  11. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、[レポート専用モード] を使用して設定を確認した後、 [ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

条件付きアクセスでのサインイン リスク ポリシー

  1. Azure portal に、条件付きアクセス管理者、セキュリティ管理者、または全体管理者としてサインインします。
  2. [Azure Active Directory][セキュリティ][条件付きアクセス] の順に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [Done] を選択します。
  6. [Cloud apps or actions](クラウド アプリまたはアクション)>[Include](含める) で、 [すべてのクラウド アプリ] を選択します。
  7. [条件]>[サインイン リスク] で、 [構成][はい] に設定します。 [このポリシーを適用するサインイン リスク レベルを選択する] で、以下の操作を実行します。 (このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります)
    1. [高][中] を選択します。
    2. [Done] を選択します。
  8. [アクセス制御]>[付与]
    1. [アクセス権の付与] [多要素認証を要求する] を選択します。
    2. [選択] を選択します。
  9. [セッション]
    1. [サインインの頻度] を選択します。
    2. [毎回] が選択されていることを確認します。
    3. [選択] を選択します。
  10. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  11. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、[レポート専用モード] を使用して設定を確認した後、 [ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

Identity Protection から条件付きアクセスにリスク ポリシーを移行する

Identity Protection でも条件が限られた 2 つのリスク ポリシーが提供されていますが、次の利点のため、条件付きアクセスでリスク ベースのポリシーを設定することを強くお勧めします。

  • 拡張診断データ
  • レポート専用モードの統合
  • Graph API のサポート
  • ポリシーで他の条件付きアクセス属性 (サインインの頻度など) を使用する

Identity Protection で既にリスク ポリシーを有効にしてある場合は、条件付きアクセスに移行することを強くお勧めします。

サインイン リスク ポリシーの条件付きアクセスへの移行を示すスクリーンショット。

条件付きアクセスへの移行

  1. レポート専用モードの条件付きアクセスで、ユーザー リスク ベースサインイン リスク ベースのポリシーの同等のものを作成します。 Microsoft の推奨事項と組織の要件に基づき、上記の手順で、または条件付きアクセス テンプレートを使って、ポリシーを作成できます。
    1. レポート専用モードでテストすることにより、新しい条件付きアクセス リスク ポリシーが意図したとおりに動作することを確認します。
  2. 新しい条件付きアクセス リスク ポリシーを有効にします。 Identity Protection リスク ポリシーをオフにする前に、両方のポリシーを並行して実行し、新しいポリシーが期待どおりに動作していることを確認できます。
    1. [Azure Active Directory]>[セキュリティ]>[条件付きアクセス] に戻ります。
    2. この新しいポリシーを選んで編集します。
    3. [ポリシーの有効化][オン] に設定して、ポリシーを有効にします
  3. Identity Protection で古いリスク ポリシーを無効にします
    1. [Azure Active Directory]>[Identity Protection] に移動し、[ユーザーのリスク] または [サインインのリスク] ポリシーを選びます。
    2. [ポリシーの適用][オフ] に設定します
  4. 条件付きアクセスで必要な場合は、他のリスク ポリシーを作成します。

次のステップ