条件付きアクセス ギャップ アナライザー ブック

  • [アーティクル]

Microsoft Entra ID では、条件付きアクセス ポリシーを構成することでリソースへのアクセスを保護できます。 IT 管理者は、リソースが適切に保護されているようにするため、条件付きアクセス ポリシーが予期したとおりに機能することを確認する必要があります。 条件付きアクセス ギャップ アナライザー ブックを使用すると、条件付きアクセスの実装におけるギャップを検出できます。

この記事では、条件付きアクセスのギャップ アナライザー ブックの概要について説明します。

前提条件

Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。

  • Premium P1 ライセンスがある Microsoft Entra テナント
  • Log Analytics ワークスペース および そのワークスペースへのアクセス
  • Azure Monitor Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Microsoft Entra ブックを使用する "前" に、Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスは、いくつかの要因によって決まります。 ワークスペース データを送信するリソースに適したロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロール が用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセス権を付与する 2 つの Log Analytics 組み込みロールも用意されています。

  • [表示]:

    • Monitoring Reader
    • Log Analytics 閲覧者

  • 設定を表示および変更する:

    • Monitoring Contributor
    • Log Analytics 共同作成者

Microsoft Entra ロール

読み取り専用アクセスを使用すると、ブック内の Microsoft Entra ID ログ データの表示、Log Analytics からのデータのクエリ、または Microsoft Entra 管理センターでのログの読み取りを行うことができます。 更新アクセスにより、診断設定を作成および編集して、Microsoft Entra データを Log Analytics ワークスペースに送信する機能が追加されます。

  • [読み取り]:

    • レポート閲覧者
    • セキュリティ閲覧者
    • グローバル閲覧者

  • 更新:

    • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。

説明

Workbook category

IT 管理者は、適切なユーザーだけがリソースにアクセスできるようにする必要があります。 Microsoft Entra の条件付きアクセスは、このゴールを達成するのに役立ちます。

条件付きアクセス ギャップ アナライザー ブックは、条件付きアクセス ポリシーが予期したとおりに機能することを検証する助けとなります。

このブックでは:

  • 条件付きアクセス ポリシーが適用されていないユーザー サインインが強調表示されます。
  • 条件付きアクセス ポリシーから意図せず除外されたユーザー、アプリケーション、または場所が存在しないことを確認できます。

ブックにアクセスする方法

  1. 適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。

  2. [ID]>[監視と正常性]>[ブック] の順に移動します。

  3. [条件付きアクセス] セクションから、[条件付きアクセスのギャップ アナライザー] ブックを選択します。

ブックのセクション

ブックには 4 つのセクションがあります。

  • レガシ認証を使用してサインインしているユーザー

  • 条件付きアクセス ポリシーの影響を受けていないアプリケーションごとのサインインの回数

  • 条件付きアクセス ポリシーをバイパスしている高リスクのサインイン イベント

  • 条件付きアクセス ポリシーの影響を受けなかった場所ごとのサインインの回数

Conditional Access coverage by location

これらの各傾向により、サインインの内訳がユーザー レベルまで明らかになるため、シナリオごとに、どのユーザーが条件付きアクセスをバイパスしているかを確認できます。

フィルタ

このブックでは、時間範囲フィルターの設定がサポートされています。

Time range filter

ベスト プラクティス

このブックを使用して、テナントが以下の条件付きアクセスのベスト プラクティスのために構成されていることを確認します。

  • レガシ認証のサインインをすべてブロックする

  • すべてのアプリケーションに、少なくとも 1 つの条件付きアクセス ポリシーを適用する

  • 高リスクのサインインをすべてブロックする

  • 信頼されていない場所からのサインインをブロックする