スマート ロックアウトのしきい値を構成する
スマート ロックアウトは、組織のユーザーのパスワードを推測したり、ブルート フォース方式を使用したりして侵入しようとする、悪意のあるユーザーをロックアウトするために役立ちます。 スマート ロックアウトは、有効なユーザーからのサインインを認識し、攻撃者や他の不明なソースからのユーザーとは異なる方法で処理できます。 攻撃者はロックアウトされる一方、組織のユーザーは自分のアカウントへのアクセスを継続できるため、生産性を落とすことはありません。
スマート ロックアウトのしくみ
既定のスマート ロックアウトでは、10 回試行に失敗した後、アカウントによるサインインの試行が 1 分間ロックされます。 このアカウントは、以降のサインインの試行が失敗するたびに、最初は 1 分間、その後の再試行ではそれより長い時間、もう一度ロックされます。 攻撃者がこの動作を回避できる方法を最小限にするために、Microsoft では、サインインの試行が重ねて失敗したときにロックアウト期間がどの程度延長されるかを開示していません。
スマート ロックアウトでは、直近 3 つの無効なパスワード ハッシュを追跡して、同じパスワードに対するロックアウト カウンターの増分を回避します。 同じ無効なパスワードが複数回入力された場合、この動作によってアカウントがロック アウトされることはありません。
AD FS 2016 と AF FS 2019 を使用したフェデレーション デプロイでは、AD FS エクストラネット ロックアウトとエクストラネット スマート ロックアウトを使用して同様の効果を実現できます。
スマート ロックアウトは、すべての Azure AD 顧客に既定として設定され、常に有効で、セキュリティとユーザビリティを適切な割合で提供します。 スマート ロックアウト設定を組織固有の値にカスタマイズするには、ユーザーに Azure AD Premium P1 以上のライセンスが必要です。
スマート ロックアウトを使用しても、正規のユーザーが絶対にロックアウトされないという保証はありません。スマート ロックアウトによってユーザー アカウントがロックされた場合、Microsoft では可能な限り正規ユーザーをロックアウトしないよう試みます。 ロックアウト サービスでは、悪意のあるアクターが正規のユーザー アカウントへのアクセスを確実に阻止するよう試みます。 次の考慮事項が適用されます。
- 各 Azure AD データ センターでは、ロックアウトが個別に追跡されます。 ユーザーが各データ センターにアクセスする場合、そのユーザーの試行回数は (
threshold\_limit * datacenter\_count) です。 - スマート ロックアウトでは、悪意のあるアクターと正規のユーザーを区別するために、"既知の場所" と "未知の場所" を使用します。 未知の場所と既知の場所の両方に、個別のロックアウト カウンターが設定されます。
スマート ロックアウトは、パスワード ハッシュ同期またはパススルー認証を使用するハイブリッド デプロイと統合でき、オンプレミスの Active Directory Domain Services (AD DS) アカウントが攻撃者によってロックアウトされることを防止します。 Azure AD でスマート ロックアウト ポリシーを適切に設定することにより、オンプレミスの AD DS に到達する前に攻撃を防止できます。
管理者がパススルー認証を構成する際には、次のことを考慮してください。
- Azure AD のロックアウトしきい値が、AD DS アカウント ロックアウトしきい値より小さい。 AD DS アカウント ロックアウトしきい値が Azure AD のロックアウトしきい値より少なくとも 2 から 3 倍大きくなるように値を設定します。
- Azure AD のロックアウト期間は、AD DS アカウントのロックアウト期間より長く設定する必要があります。 AD の期間は分単位で設定しますが、Azure AD の期間は秒単位で設定します。
たとえば、Azure AD のスマート ロックアウト期間が AD DS よりも高くなるようにしたい場合は、オンプレミス AD が 1 分 (60 秒) に設定されていても、Azure AD は 120 秒 (2 分) にします。 Azure AD のロックアウトしきい値を 5 にする場合は、オンプレミスの AD ロックアウトしきい値を 10 に設定します。 この構成により、スマートロックアウトによって Azure AD アカウントへのブルート フォース攻撃でオンプレミスの AD アカウントがロックアウトされることを確実に防ぐことができます。
ヘルプが必要ですか? Microsoft のトラブルシューティング ガイドをご覧になるか、問題を報告して具体的なフィードバックをお送りください。