Share via

Microsoft Entra 外部 ID での ID 保護を使用したリスクの調査

  • [アーティクル]

Microsoft Entra Identity Protection により、外部テナントに対する継続的なリスク検出が提供されます。 これにより、組織は ID ベースのリスクを検出、調査し、修復できます。 Identity Protection には、外部テナントの ID のリスクを調査するために使用できるリスク レポートが用意されています。 この記事では、リスクを調査して軽減する方法について説明します。

Identity Protection のレポート

Identity Protection には 2 つのレポートがあります。 "危険なユーザー" レポートでは、管理者は、危険にさらされているユーザーと検出の詳細を確認できます。 "リスク検出" レポートには、各リスク検出に関する情報が表示されます。 このレポートには、リスクの種類、同時にトリガーされるその他のリスク、サインイン試行の場所などが含まれます。

各レポートは、レポートの上部に表示されている期間のすべての検出の一覧と共に起動します。 レポートは、レポートの上部にあるフィルターを使用してフィルター処理できます。 管理者は、データをダウンロードするか、MS Graph API と Microsoft Graph PowerShell SDK を使用してデータを継続的にエクスポートするかを選択できます。

サービスの制限と考慮事項

Identity Protection を使用するときは、次の点を考慮してください。

  • Identity Protection は、試用版テナントでは使用できません。
  • Identity Protection は既定でオンになっています。
  • Identity Protection は、ローカル ID と、Google や Facebook などのソーシャル ID の両方で使用できます。 外部の ID プロバイダーによってソーシャル アカウントの資格情報が管理されているため、検出が制限されます。
  • 現在、Microsoft Entra の外部テナントでは、Microsoft Entra ID Protection リスク検出のサブセットを使用できます。 Microsoft Entra 外部 ID では、次のリスク検出がサポートされています。
リスク検出の種類 説明
特殊な移動 ユーザーの最近のサインインに基づき特殊と判断された場所からのサインイン。
匿名 IP アドレス 匿名の IP アドレスからのサインイン (例: Tor Browser、Anonymizer VPN)。
マルウェアにリンクした IP アドレス マルウェアにリンクした IP アドレスからのサインイン。
通常とは異なるサインイン プロパティ 指定されたユーザーで最近使用されていないプロパティを使用したサインイン。
ユーザーに対するセキュリティ侵害を管理者が確認しました 管理者は、ユーザーが侵害されたことを示しています。
パスワード スプレー パスワード スプレー攻撃を使用したサインイン。
Microsoft Entra の脅威インテリジェンス Microsoft の内部および外部の脅威インテリジェンス ソースが既知の攻撃パターンを特定しました。

危険性の高いユーザーを調査する

危険なユーザー レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

  • どのユーザーが危険な状態になっているか、およびそのリスクが修復されたか無視されたかを確認できるリスクの状態
  • 検出の詳細
  • すべての危険なサインインの履歴
  • リスクの履歴

管理者は、これらのイベントに対してアクションを実行することを選択できます。 管理者は、以下を実行することを選択できます。

  • ユーザー パスワードをリセットする
  • ユーザーの侵害を確認する
  • ユーザー リスクを無視する
  • ユーザーによるサインインをブロックする
  • Azure ATP を使用してさらに調査する

管理者は、Microsoft Entra 管理センターでユーザーのリスクを無視するか、Microsoft Graph API のユーザーのリスクを無視を使用してプログラムによってユーザーのリスクを無視するかを選択できます。 ユーザーのリスクを無視するには、管理者特権が必要です。 危険なユーザーまたはそのユーザーの代理の管理者は、パスワードのリセットなどを通じてリスクを修復できます。

  1. Microsoft Entra 管理センターにサインインします。

  2. Microsoft Entra の外部テナントを含むディレクトリを使用していることを確認します。ツール バーの [設定] アイコン を選択し、[ディレクトリとサブスクリプション] メニューから外部テナントを見つけます。 現在のディレクトリではない場合は、[切り替え] を選択します。

  3. ID>保護>Security Center を参照します。

  4. [Identity Protection] を選択します。

  5. [レポート] で、[危険なユーザー] を選択します。

    個々のエントリを選択すると、検出の下に [詳細] ウィンドウが展開されます。 詳細ビューで、管理者は、各検出を調査してアクションを実行できます。

リスク検出レポート

リスク検出レポートには、最長で過去 90 日間 (3 か月) のフィルター可能なデータが含まれています。

リスク検出レポートによって提供される情報を使用して、管理者は、以下を見つけることができます。

  • 各リスク検出についての種類を含む情報
  • 同時にトリガーされたその他のリスク。
  • サインインが試行された場所。

管理者は、ユーザーのリスク レポートまたはサインイン レポートに戻り、収集された情報に基づいてアクションを実行できます。

  1. Microsoft Entra 管理センターにサインインします。

  2. ID>保護>Security Center を参照します。

  3. [Identity Protection] を選択します。

  4. [レポート] で、[リスク検出] を選択します。