次の方法で共有


Microsoft Entra ID Protection でリスク検出をシミュレートする

管理者は、Microsoft Entra ID Protection のリスク検出をシミュレートして、データを設定し、リスクベースの条件付きアクセス ポリシーをテストできます。

このセクションでは、次の種類のリスク検出をシミュレーションする手順を説明します。

  • 匿名 IP アドレス (容易)
  • 見慣れないサインイン プロパティ (中程度)
  • 特殊な移動 (難解)
  • ワークロード ID 用の GitHub の漏洩した資格情報 (中程度)

他のリスク検出は、安全な方法でシミュレートできません。

各リスク検出の詳細については、 ユーザー ID と ワークロード ID のリスクの概要に関する記事を参照してください。

匿名 IP アドレスをシミュレートする

次の手順を完了するには、以下を使用する必要があります。

  • 匿名 IP アドレスをシミュレートする Tor Browser 。 組織が Tor Browser の使用を制限している場合は、仮想マシンの使用が必要になることがあります。
  • まだ Microsoft Entra 多要素認証用に登録されていないテスト アカウント。

匿名 IP からのサインインをシミュレートするには、次の手順に従います

  1. Tor Browser を使用して、https://myapps.microsoft.comに移動します。
  2. 匿名 IP アドレスからのサインイン レポートに表示するアカウントの資格情報を入力します。

サインイン履歴は、10 分から 15 分以内にレポートに表示されます。

未知の Sign-In プロパティをシミュレートする

未知の場所をシミュレートするには、テスト アカウントが以前に使用したことのない場所とデバイスを使用する必要があります。

以下の手順では、次のものを新たに作成して使用します。

  • 新しい場所をシミュレートするための VPN 接続
  • 新しいデバイスをシミュレートするための仮想マシン

次の手順を完了するには、少なくとも 30 日間のサインイン履歴と使用可能な多要素認証方法を持つユーザー アカウントを使用する必要があります。

未知の場所からのサインインをシミュレートするには、次の手順を実行します

  1. 新しい VPN を使用して、https://myapps.microsoft.com に移動し、テスト アカウントの資格情報を入力します。
  2. テスト アカウントでサインインするときに、多要素認証チャレンジを完了しないことで、MFA チャレンジを失敗させます。

サインイン履歴は、10 分から 15 分以内にレポートに表示されます。

非定型旅行をシミュレートする

通常とは異なる移動状態のシミュレーションは困難です。 アルゴリズムでは、機械学習を使用して、既知のデバイスからの通常とは異なる移動や、ディレクトリ内の他のユーザーによって使用される VPN からのサインインなどの誤検知が除去されます。 さらに、このアルゴリズムでは、リスク検出の生成を開始する前に、そのユーザーの 14 日間のサインイン履歴または 10 回のログインが必要です。 複雑な機械学習モデルと上記のルールのため、次の手順ではリスク検出がトリガーされないこともあります。 特殊な移動パターンの検出をシミュレーションするには、複数の Microsoft Entra アカウントでこれらの手順を繰り返さなければならない場合があります。

非定型の移動リスク検出をシミュレートするには、次の手順を実行します。

  1. 標準的なブラウザーを使用して、https://myapps.microsoft.com に移動します。
  2. 特殊な移動のリスク検出を生成するアカウントの資格情報を入力します。
  3. ユーザー エージェントを変更します。 開発者ツール (F12) から Microsoft Edge のユーザー エージェントを変更できます。
  4. IP アドレスを変更します。 VPN または Tor アドオンを使用するか、Azure 上に別のデータ センターの新しい仮想マシンを作成することで、IP アドレスを変更できます。
  5. 前と同じ認証情報を使用して、前回のサインインから数分以内に、https://myapps.microsoft.com にサインインします。

サインイン履歴は、2 時間から 4 時間以内にレポートに表示されます。

ワークロード ID 用の漏洩した認証情報

このリスク検出は、アプリケーションの有効な資格情報が漏洩したことを示します。 この漏洩は、だれかが GitHub のパブリック コード アーティファクトで認証情報にチェックインしたときに発生する場合があります。 そのため、この検出をシミュレートするには、GitHub アカウントが必要であり、 GitHub アカウント がまだない場合はサインアップできます。

ワークロード ID 用の GitHub の漏洩した資格情報をシミュレートする

  1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>App 登録に移動します

  3. [新規登録] を選択して新しいアプリケーションを登録するか、既存の古いアプリケーションを再利用します。

  4. [証明書とシークレット>新しいクライアント シークレット] を選択し、クライアント シークレットの説明を追加し、シークレットの有効期限を設定するか、カスタム有効期間を指定して 、[追加] を選択します。 後で GitHub コミットに使用するために、シークレットの値を記録します。

    注意

    このページを終了した後は、シークレットを再度取得することはできません

  5. [概要] ページで TenantID と Application(Client)ID を取得します。

  6. Entra ID>Enterprise apps>Properties> ユーザーがサインインできるように [有効][いいえ] に設定して、アプリケーションを無効にします。

  7. パブリック GitHub リポジトリを作成し、次の構成を追加し、.txt 拡張子を持つファイルとして変更をコミットします。

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. 約 8 時間以内に、 ID Protection>Dashboard>Risk Detections>Workload id detections の下で漏洩した資格情報の検出を表示できます。他の情報には GitHub コミットの URL が含まれています。

リスク ポリシーのテスト

このセクションでは、「 方法: リスク ポリシーを構成して有効にする」の記事で作成したユーザーとサインイン リスク ポリシーをテストする手順について説明します。

ユーザー リスクのポリシー

ユーザー リスク セキュリティ ポリシーをテストするには、次の手順に従います。

  1. テストする予定のユーザーを対象とするユーザー リスク ポリシー を構成します。
  2. テスト アカウントのユーザーのリスクを評価します。たとえば、リスク検出のいずれかを数回シミュレートします。
  3. 数分待った後、そのユーザーのリスクが上昇したことを確認します。 そうでない場合は、そのユーザーに対するリスク検出をさらにシミュレートします。
  4. リスク ポリシーに戻り、[ポリシーの適用] を [オン] に設定し、ポリシーの変更を保存します。
  5. これで、リスク レベルを上げたユーザーを使用してサインインすることで、ユーザーのリスクに基づく条件付きアクセスをテストできます。

サインインのリスク セキュリティ ポリシー

サインイン リスク ポリシーをテストするには、次の手順に従います。

  1. テスト対象のユーザーを対象とする サインイン リスク ポリシー を構成します。
  2. これで、リスクの高いセッションを使用してサインインすることで (たとえば、Tor Browser を使用して)、サインインのリスクに基づく条件付きアクセスをテストできます。