Microsoft Entra ID 保護におけるリスク検出のシミュレーション
管理者は、次の目的のため、環境内のリスクをシミュレーションしたい場合があります。
- リスク検出と脆弱性をシミュレーションして、ID 保護環境にデータを入力する。
- リスクベースの条件付きアクセス ポリシーを設定し、それらのポリシーの影響をテストする。
このセクションでは、次の種類のリスク検出をシミュレーションする手順を説明します。
- 匿名 IP アドレス (容易)
- 見慣れないサインイン プロパティ (中程度)
- 特殊な移動パターン (困難)
- ワークロード ID 用の GitHub の漏洩した認証情報 (中程度)
他のリスク検出は、安全な方法でシミュレーションできません。
各リスク検出に関するより詳細な情報については、「ユーザーとワークロード ID に関するリスクの概要」の記事を参照してください。
匿名 IP アドレス
次の手順を完了するには、以下を使用する必要があります。
- 匿名 IP アドレスをシミュレーションするための Tor Browser。 組織が Tor Browser の使用を制限している場合は、仮想マシンの使用が必要になることがあります。
- まだ Microsoft Entra 多要素認証用に登録されていないテスト アカウント。
匿名 IP からのサインインをシミュレーションするには、次の手順を実行します。
- Tor Browser を使用して https://myapps.microsoft.com に移動します。
- [匿名 IP アドレスからのサインイン] レポートに表示させるアカウントの認証情報を入力します。
サインイン履歴は、10 分から 15 分以内にレポートに表示されます。
通常とは異なるサインイン プロパティ
未知の場所をシミュレーションするには、テスト アカウントが以前に使用したことのない場所とデバイスを使用する必要があります。
以下の手順では、次のものを新たに作成して使用します。
- 新しい場所をシミュレーションするための VPN 接続。
- 新しいデバイスをシミュレーションするための仮想マシン。
以下の手順を完了するには、次の条件を満たすユーザー アカウントを使用する必要があります。
- 30 日以上のサインイン履歴がある。
- Microsoft Entra 多要素認証を備えている。
未知の場所からのサインインをシミュレーションするには、次の手順を実行します。
- 新しい VPN を使用して、https://myapps.microsoft.com に移動し、テスト アカウントの認証情報を入力します。
- テスト アカウントでサインインするときに、多要素認証チャレンジを完了しないことで、MFA チャレンジを失敗させます。
サインイン履歴は、10 分から 15 分以内にレポートに表示されます。
特殊な移動パターン
通常とは異なる移動パターンは、シミュレーションするのが困難です。 アルゴリズムでは、機械学習を使用して、既知のデバイスからの通常とは異なる移動や、ディレクトリ内の他のユーザーによって使用される VPN からのサインインなどの誤検知を除去します。 さらに、このアルゴリズムでは、リスク検出の生成を開始する前に、そのユーザーの 14 日間のサインイン履歴または 10 回のログインが必要です。 複雑な機械学習モデルと上記のルールのため、次の手順ではリスク検出がトリガーされないこともあります。 特殊な移動パターンの検出をシミュレーションするには、複数の Microsoft Entra アカウントでこれらの手順を繰り返さなければならない場合があります。
特殊な移動パターンのリスク検出をシミュレーションするには、次の手順を実行します。
- 標準的なブラウザーを使用して、https://myapps.microsoft.com に移動します。
- 特殊な移動パターンのリスク検出を生成するアカウントの認証情報を入力します。
- ユーザー エージェントを変更します。 開発者ツール (F12) から Microsoft Edge のユーザー エージェントを変更できます。
- IP アドレスを変更します。 VPN または Tor アドオンを使用するか、Azure 上に別のデータ センターの新しい仮想マシンを作成することで、IP アドレスを変更できます。
- 前と同じ認証情報を使用して、前回のサインインから数分以内に、https://myapps.microsoft.com にサインインします。
サインイン履歴は、2 時間から 4 時間以内にレポートに表示されます。
ワークロード ID 用の漏洩した認証情報
このリスク検出は、アプリケーションの有効な認証情報が漏洩したことを示します。 この漏洩は、だれかが GitHub のパブリック コード アーティファクトで認証情報にチェックインしたときに発生する場合があります。 そのため、この検出をシミュレーションするには GitHub アカウントが必要であり、それがまだない場合は GitHub アカウントにサインアップしてください。
ワークロード ID 用の GitHub の漏洩した認証情報をシミュレーションする
Microsoft Entra 管理センター に セキュリティ管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[アプリの登録] の順に選択します。
[新規登録] を選択して新しいアプリケーションを登録するか、または既存の古いアプリケーションを再利用します。
[証明書とシークレット]>[新しいクライアント シークレット] の順に選択し、クライアント シークレットの説明を追加してシークレットの有効期限を設定するか、またはカスタムの有効期間を指定し、[追加] を選択します。 後で GitHub コミットに使用するために、シークレットの値を記録します。
メモ
このページを離れた後に、シークレットを再度取得することはできません。
[概要] ページで、テナント ID とアプリケーション (クライアント) ID を取得します。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[プロパティ] の順に移動し>、[ユーザーのサインインが有効になっていますか?] を [いいえ] に設定して、アプリケーションを必ず無効にしてください。
パブリックの GitHub リポジトリを作成し、次の構成を追加して、変更を拡張子 .txt のファイルとしてコミットします。
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",約 8 時間以内に、[保護]>[ID 保護]>[リスク検出]>[ワークロード ID の検出] で、漏洩した認証情報の検出履歴を確認できるようになります。そこに示される他の情報には、GitHub コミットの URL が含まれます。
リスク ポリシーのテスト
このセクションでは、ユーザー リスク ポリシーとサインイン リスク ポリシーをテストする手順を示します。これらのポリシーについての詳細は、記事「方法: リスク ポリシーを構成して有効にする」を参照してください。
ユーザー リスク ポリシー
ユーザー リスク セキュリティ ポリシーをテストするには、次の手順に従います。
- テストするユーザーを対象とするユーザー リスク ポリシーを構成します。
- テスト アカウントのユーザーのリスクレベルを上昇させます。たとえば、リスク検出のいずれかを数回シミュレーションします。
- 数分待った後、そのユーザーのリスクが上昇したことを確認します。 確認できない場合は、そのユーザーについてのリスク検出をさらにシミュレーションします。
- リスク ポリシーに戻り、[ポリシーの適用] を [オン] に設定し、ポリシーの変更を [保存] します。
- これで、リスク レベルを上げたユーザーを使用してサインインすることで、ユーザーのリスクに基づく条件付きアクセスをテストできます。
サインイン リスク の セキュリティ ポリシー
サインイン リスク ポリシーをテストするには、次の手順に従います。
- テストするユーザーを対象とする [サインイン リスク ポリシー] を構成します。
- これで、リスクの高いセッションを使用してサインインすることで (たとえば、Tor Browser を使用して)、サインインのリスクに基づく条件付きアクセスをテストできます。