リスクベースのアクセス ポリシー

アクセス制御ポリシーは、サインインまたはユーザーが危険にさらされていることが検出されたときに組織を保護するために適用できます。 このようなポリシーは、リスクベースのポリシーと呼ばれます。

Microsoft Entra の条件付きアクセスには、サインイン リスクユーザー リスクという 2 つのリスク条件があります。 組織は、これら 2 つのリスク条件を構成し、アクセス制御方法を選択することで、リスクベースの条件付きアクセス ポリシーを作成できます。 各サインイン時に、Identity Protection は検出されたリスク レベルを条件付きアクセスに送信し、ポリシー条件が満たされた場合はリスクベースのポリシーが適用されます。

Diagram that shows a conceptual risk-based Conditional Access policy.

たとえば、次の図に示すように、サインイン リスク レベルが中または高のときに多要素認証を必要とするサインイン リスク ポリシーが組織にある場合、ユーザーはサインイン リスクが中または高のときに多要素認証を完了する必要があります。

Diagram that shows a conceptual risk-based Conditional Access policy with self-remediation.

上記の例では、リスクベースのポリシーの主な利点である 自動リスク修復も示しています。 セキュリティで保護されたパスワードの変更など、ユーザーが必要なアクセス制御を正常に完了すると、そのリスクが修復されます。 そのサインイン セッションとユーザー アカウントは危険にさらされないため、管理者からの操作は必要ありません。

このプロセスを使用してユーザーが自己修復を行えるようにすると、セキュリティ侵害から組織を保護しながら、管理者のリスク調査と修復の負担が大幅に軽減されます。 リスクの修復の詳細については、「リスクの修復とユーザーのブロック解除」に関する記事を参照してください。

サインイン リスクベースの条件付きアクセス ポリシー

各サインイン時に、Identity Protection は数百のシグナルをリアルタイムで分析し、特定の認証要求が承認されない確率を表すサインイン リスク レベルを計算します。 その後、このリスク レベルは条件付きアクセスに送信され、そこで組織の構成済みポリシーが評価されます。 管理者は、サインイン リスクベースの条件付きアクセス ポリシーを構成して、次のような要件を含むサインイン リスクに基づいてアクセス制御を適用できます。

  • アクセスのブロック
  • アクセスを許可
  • 多要素認証を要求する

サインインでリスクが検出された場合、ユーザーは多要素認証などの必要なアクセス制御を実行して自己修復し、危険なサインイン イベントを閉じて管理者の不要なノイズを防ぐことができます。

Screenshot of a sign-in risk-based Conditional Access policy.

Note

サインイン リスク ポリシーをトリガーする前に、ユーザーは Microsoft Entra 多要素認証に事前に登録しておく必要があります。

ユーザー リスクに基づく条件付きアクセス ポリシー

Identity Protection は、ユーザー アカウントに関するシグナルを分析し、ユーザーが侵害された確率に基づいてリスク スコアを計算します。 ユーザーが危険なサインイン動作をしている場合、または資格情報が漏洩した場合、Identity Protection はこれらのシグナルを使用してユーザー リスク レベルを計算します。 管理者は、ユーザー リスクベースの条件付きアクセス ポリシーを構成して、次のような要件を含むユーザー リスクに基づいてアクセス制御を適用できます。

  • アクセスのブロック
  • アクセスを許可しますが、セキュリティで保護されたパスワードの変更が必要です。

セキュリティで保護されたパスワードの変更により、ユーザー リスクが修復され、危険なユーザー イベントが閉じ、管理者の不要なノイズが防止されます。

Identity Protection ポリシー

Identity Protection には、ユーザー リスク ポリシーとサインイン リスク ポリシーを作成するためのユーザー インターフェイスも用意されていますが、Microsoft Entra の条件付きアクセスを使用してリスクベースのポリシーを作成することを強くお勧めします。これには次の利点があります。

  • アクセスを制御する条件のリッチなセット: 条件付きアクセスは、アプリケーションや構成の場所などのリッチな条件セットを提供します。 リスク条件をその他の条件と組み合わせて使用して、組織の要件を最も適切に適用するポリシーを作成できます。
  • 複数のリスクベースのポリシーを配置して、異なるユーザー グループをターゲットにしたり、異なるリスク レベルに対して異なるアクセス制御を適用したりできます。
  • 条件付きアクセス ポリシーは、Microsoft Graph API を使用して作成でき、レポート専用モードで最初にテストできます。
  • 条件付きアクセスですべてのアクセス ポリシーを 1 か所で管理します。

Identity Protection リスク ポリシーが既に設定されている場合は、 条件付きアクセスに移行することをお勧めします。

Microsoft Entra 多要素認証の登録ポリシー

Identity Protection を使用すると、組織は、サインイン時に登録を要求するポリシーを使用して Microsoft Entra 多要素認証をロールアウトできます。 このポリシーの有効化は、組織内の新しいユーザーに初日に MFA に確実に登録させるための優れた方法です。 多要素認証は、Identity Protection 内のリスク イベントに対する自己修復方法の 1 つです。 自己修復機能を使用すると、ユーザーは自分でアクションを実行でき、ヘルプデスクへの問い合わせを減らすことができます。

Microsoft Entra 多要素認証の詳細については、「しくみ: Microsoft Entra 多要素認証」の記事を参照してください。

次のステップ