リスクベースのアクセス ポリシー
アクセス制御ポリシーは、サインインまたはユーザーが危険にさらされていることが検出されたときに組織を保護するために適用できます。 このようなポリシーは、リスクベースのポリシーと呼ばれます。
Microsoft Entra の条件付きアクセスには、サインイン リスクとユーザー リスクという 2 つのリスク条件があります。 組織は、これら 2 つのリスク条件を構成し、アクセス制御方法を選択することで、リスクベースの条件付きアクセス ポリシーを作成できます。 各サインイン時に、Microsoft Entra ID Protection は検出されたリスク レベルを条件付きアクセスに送信し、ポリシー条件が満たされた場合はリスクベースのポリシーが適用されます。
たとえば、次の図に示すように、サインイン リスク レベルが中または高のときに多要素認証を必要とするというサインイン リスク ポリシーを組織が持っている場合、組織のユーザーはサインイン リスクが中または高のときに多要素認証を完了する必要があります。
前の例では、リスクベースのポリシーの主な利点である 自動リスク修復も示しています。 セキュリティで保護されたパスワードの変更など、ユーザーが必要なアクセス制御を正常に完了すると、そのリスクが修復されます。 そのサインイン セッションとユーザー アカウントは危険にさらされないため、管理者からの操作は必要ありません。
このプロセスを使用してユーザーが自己修復を行えるようにすると、セキュリティ侵害から組織を保護しながら、管理者のリスク調査と修復の負担が大幅に軽減されます。 リスクの修復の詳細については、「リスクの修復とユーザーのブロック解除」に関する記事を参照してください。
サインイン リスクベースの条件付きアクセス ポリシー
各サインイン時に、ID Protection は数百のシグナルをリアルタイムで分析し、特定の認証要求が承認されない確率を表すサインイン リスク レベルを計算します。 その後、このリスク レベルは条件付きアクセスに送信され、そこで組織の構成済みポリシーが評価されます。 管理者は、サインイン リスクベースの条件付きアクセス ポリシーを構成して、次のような要件を含むサインイン リスクに基づいてアクセス制御を適用できます。
- アクセスのブロック
- アクセスを許可
- 多要素認証を要求する
サインインでリスクが検出された場合、ユーザーは多要素認証などの必要なアクセス制御を実行して自己修復し、危険なサインイン イベントを閉じて管理者の不要なノイズを防ぐことができます。
Note
サインイン リスク ポリシーをトリガーする前に、ユーザーは Microsoft Entra 多要素認証に事前に登録しておく必要があります。
ユーザー リスクに基づく条件付きアクセス ポリシー
ID Protection は、ユーザー アカウントに関するシグナルを分析し、ユーザーがセキュリティ侵害された確率に基づいてリスク スコアを計算します。 ユーザーが危険なサインイン動作をしている場合、または資格情報が漏洩した場合、ID Protection はこれらのシグナルを使ってユーザー リスク レベルを計算します。 管理者は、ユーザー リスクベースの条件付きアクセス ポリシーを構成して、次のような要件を含むユーザー リスクに基づいてアクセス制御を適用できます。
- アクセスのブロック
- アクセスを許可しますが、セキュリティで保護されたパスワードの変更が必要です。
セキュリティで保護されたパスワードの変更により、ユーザー リスクが修復され、危険なユーザー イベントが閉じ、管理者の不要なノイズが防止されます。
ID Protection リスク ポリシーを条件付きアクセスに移行する
ID Protection (旧称 Identity Protection) で従来のユーザー リスク ポリシーまたはサインイン リスク ポリシーが有効になっている場合は、条件付きアクセスに移行することをお勧めします。
警告
Microsoft Entra ID Protection で構成された従来のリスク ポリシーは、2026 年 10 月 1 日に廃止されます。
条件付きアクセスでリスク ポリシーを構成すると、次のような利点があります。
- アクセス ポリシーが 1 か所で管理されます。
- レポート専用モードと Graph API サポート。
- 毎回再認証を要求するために、毎回のサインイン頻度を強制します。
- リスク条件と場所などの他の条件を組み合わせて、きめ細かなアクセス制御を行います。
- さまざまなユーザー グループまたはリスク レベルを対象とする複数のリスクベースのポリシーを使用してセキュリティを強化します。
- 適用されたリスクベースのポリシーの詳細をサインイン ログに記録する事による診断エクスペリエンスの向上。
- バックアップ認証システムによるサポート。
Microsoft Entra 多要素認証の登録ポリシー
ID Protection を使用すると、組織は、サインイン時に登録を要求するポリシーを使用して Microsoft Entra 多要素認証をロールアウトできます。 このポリシーの有効化は、組織内の新しいユーザーに初日に MFA に確実に登録させるための優れた方法です。 多要素認証は、ID Protection 内のリスク イベントに対する自己修復方法の 1 つです。 自己修復機能を使用すると、ユーザーは自分でアクションを実行でき、ヘルプデスクへの問い合わせを減らすことができます。
Microsoft Entra 多要素認証の詳細については、「しくみ: Microsoft Entra 多要素認証」の記事を参照してください。