Azure Active Directory Identity Protection ④

はじめに

Azure Active Directory Identity Protection ①(http://cloudsteady.jp/post/3519/)にて説明した「”リスクがある”と判定されたユーザーに対して実施するアクション」を定めるポリシーについて説明します。

ポリシー (ユーザーのリスクポリシー、サインインのリスクポリシー)

ユーザーのリスクポリシーおよびサインインのリスクポリシーにて設定が可能です。

「割り当て」にてポリシーの適用対象とするユーザーを選択します。
MFAへの登録と同様に特定のユーザーまたはすべてのユーザーを選択することができます。

条件

「条件」ではリスクレベルを選択できます。

例えば上では「中以上」を選択しています。
この場合ユーザーがAzure ADへのログインの際、中以上のリスクレベルが発生した場合「コントロール」にて定めたアクションが実施されるようになります。

リスクイベント リスク レベル
漏洩した資格情報
匿名のIPアドレスからのサインイン
特殊な場所へのあり得ない移動
未知の場所からのサインイン
不信なアクティビティのあるIPアドレスからのサインイン
感染しているデバイスからのサインイン

上はリスクイベントと対応するリスクレベルの参考です。
リスクレベルを「中以上」と設定している場合は「感染しているデバイスからのサインイン 」のリスクイベントが発生してもアクションを実施しませんが、それ以外のリスクイベント発生時はアクションを実施します。

コントロール (実施するアクション)

「コントロール」ではユーザーに実施するアクションを設定することができます。
「ユーザーのリスクポリシー」と「サインインのリスクポリシー」で設定できる項目が異なります。


上は「ユーザーのリスクポリシー」の設定値です。
リスクイベントが発生したユーザーに対するアクションとして、アクセスをブロックするかまたはアクセスを許可してパスワードの変更を求めるかのいずれかを選択できます。
なお、 パスワードを変更する前に多要素認証を行う必要があります。
この動作についてはAzure Active Directory Identity Protection ① をご確認ください。

上は「サインインのリスクポリシー」です。
リスクイベントが発生したユーザーには普段のID,パスワードの認証に加えて多要素認証も求めるといった動作になります。
その後パスワード変更が求められない点が「ユーザーのリスクポリシー」とは異なります。

「ユーザーのリスクポリシー」と「サインインのリスクポリシー」 どちらにも共通しますが「アクセスのブロック」を選択し、リスクイベントが発生した場合にはユーザーのAzure ADへのサインインはブロックされます。
ブロックされたユーザーは管理者がブロックを解除する必要があります。

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。