Azure AD Identiry Protection

スポンサーリンク

Azure AD Identity Protectionは不審なアクセスを拒否する機能です。普段アクセスがないIPアドレスなど不審なアクセスをブロックする事ができます。なお、Identity Protectionを使用するには、Azure AD Premium P2ライセンスが必要です。

関連記事 : Azure 内部統制 : 無償枠
関連記事 : Azure 内部統制 : 検証ライセンス発行
  • Azure Active Directory プレミアムライセンスの試用
  • Azure EMS(Enterprise Mobility + Security)ライセンスの試用
  • Azure MS365ライセンスの試用
    • 関連記事 : Azure 内部統制 : 要有償ライセンス
  • Azure AD Connect Health
  • 企業用ログインページのカスタマイズ
  • Azure AD パスワードリセット セルフサービス
  • Azure AD 動的グループ
  • Azure PIM (Privileged Identity Management) – Azure AD ロールの適用
  • Azure PIM (Privileged Identity Management) – Azure リソースの適用
  • Azure AD Identiry Protection (いまここ)
  • Windows端末 intuneデバイス登録
  • Windows端末 intune構成プロファイル
  • Windows端末 intune 更新リング
  • Windows端末 intune アプリの更新
  • Windows端末 intune コンプライアンスポリシーの定義
  • 条件付きアクセス (1/3) 日本国内のみに限定する設定例
  • 条件付きアクセス (2/3) 管理者に対する多要素認証
  • 条件付きアクセス (3/3) コンプライアンスポリシーの併用

    • Identity Protectionの設定

    ユーザー リスク ポリシー

    「ユーザー リスク ポリシー」を設定すると、ユーザ単位でリスクのある認証が試みられた時に「ブロックする」「パスワード変更を強制する」などの挙動を定義できます。

    Azure ポータル」にログインします。「セキュリティ」「Azure AD Identity Protection」の順に押下し、「Azure AD Identity Protection」の画面を開きます。

    Azure Identity Protectionのユーザーリスクポリシーの設定 01

    「ユーザー リスク ポリシー」の画面を開きます。「ユーザー」欄を押下すると、対象または対象外とするユーザーを定義できます。

    Azure Identity Protectionのユーザーリスクポリシーの設定 02

    「ユーザーのリスク」欄を押下すると、どの程度以上のリスクに対して制御を実施するかを定義できます。

    Azure Identity Protectionのユーザーリスクポリシーの設定 03

    「アクセス」欄を押下すると、「ブロックする」「パスワード変更を強制する」などの制御方法を定義できます。

    Azure Identity Protectionのユーザーリスクポリシーの設定 04

    「ポリシーを適用する」を「オン」に切り替え、「保存」を押下すると、設定が反映されます。

    Azure Identity Protectionのユーザーリスクポリシーの設定 05

    サインイン リスク ポリシー

    「サインイン リスク ポリシー」を設定すると、ログインを観測する毎にリスクを判定し、リスクありの場合は「ブロックする」「多要素認証を強制する」などの挙動を定義できます。

    「サインイン リスク ポリシー」の画面を開きます。「ユーザー」欄を押下すると、対象または対象外とするユーザーを定義できます。

    Azure Identity Protectionのサインインリスクポリシーの設定 01

    「ユーザーのリスク」欄を押下すると、どの程度以上のリスクに対して制御を実施するかを定義できます。

    Azure Identity Protectionのサインインリスクポリシーの設定 02

    「アクセス」欄を押下すると、「ブロックする」「多要素認証を要求する」などの制御方法を定義できます。

    Azure Identity Protectionのサインインリスクポリシーの設定 03

    「ポリシーを適用する」を「オン」に切り替え、「保存」を押下すると、設定が反映されます。

    Azure Identity Protectionのサインインリスクポリシーの設定 04

    Identity Protectionの動作確認

    匿名IPアドレス

    リスク検出のシミュレート

    Azure AD Identity Protectionは匿名IPアドレスからのアクセスは「リスクあり」と判断します。匿名IPアドレスを再現するには、「Tor Project」からTor Browserを入手してインストールします。Tor BrowserはWindows, MacOS, Linuxに対応しています。

    Tor Browserのダウンロード

    Tor Browserを起動し、「Connect」を押下します。これによってTor Projectが設置しているプロキシ経由のアクセスが可能になります。

    Torブラウザによる匿名アクセス 01

    検索エンジンに「Azure login」などを入力します。

    Torブラウザによる匿名アクセス 02

    AzureポータルのログインURLを押下します。

    Torブラウザによる匿名アクセス 03

    正規のユーザ名を入力します。

    Torブラウザによる匿名アクセス 04

    正規のパスワードを入力します。

    Torブラウザによる匿名アクセス 05

    アクセスがブロックされる事を確認します。

    Torブラウザによる匿名アクセス 06

    アクセスログの確認

    アクセスがブロックされた旨はAzure ポータルからも確認可能です。ただし、ログが表示されるには15分程度の時間がかかる事を留意ください。

    15分後、「Azure ポータル」にログインします。「セキュリティ」「Azure AD Identity Protection」の順に押下し、「Azure AD Identity Protection」の画面を開きます。「危険なユーザー」を押下し、アクセスが拒否されたユーザ名が表示されている事を確認します。

    匿名IPアドレスのログ 01

    「危険なサインイン」を押下し、アクセスが拒否されたサインインが表示されている事を確認します。

    匿名IPアドレスのログ 02

    「リスク検出」を押下し、アクセスが拒否された理由を確認します。「検出の種類」欄に「匿名IPアドレス」と書かれている事を確認します。

    匿名IPアドレスのログ 03

    見慣れないサインイン

    リスク検出のシミュレート

    Azure AD Identity Protectionは普段と異なるIPアドレスからのアクセスがあった場合に「リスクあり」と判断します。ただし、ある程度のアクセス履歴がないと「普段と異なる」と判定できないため、以下のような前提条件が必要になります。

    • 30日以上のサインイン履歴がある
    • Azure AD Multi-Factor Authenticationが有効になっている

    普段と異なるIPアドレスを使用するには、AWSやAzureの仮想マシンを利用すると便利でしょう。仮想マシンでブラウザを立ち上げ、Azure ポータルのログイン画面を開きます。

    見慣れないサインインのシミュレート 01

    正規のユーザ名を入力します。

    見慣れないサインインのシミュレート 02

    正規のパスワードを入力します。

    見慣れないサインインのシミュレート 03

    アクセスがブロックされる事を確認します。

    見慣れないサインインのシミュレート 04

    アクセスログの確認

    アクセスがブロックされた旨はAzure ポータルからも確認可能です。ただし、ログが表示されるには15分程度の時間がかかる事を留意ください。

    15分後、「Azure ポータル」にログインします。「セキュリティ」「Azure AD Identity Protection」の順に押下し、「Azure AD Identity Protection」の画面を開きます。「危険なユーザー」を押下し、アクセスが拒否されたユーザ名が表示されている事を確認します。

    見慣れないサインインのログ 01

    「危険なサインイン」を押下し、アクセスが拒否されたサインインが表示されている事を確認します。

    見慣れないサインインのログ 02

    「リスク検出」を押下し、アクセスが拒否された理由を確認します。「検出の種類」欄に「見慣れないサインイン」と書かれている事を確認します。

    見慣れないサインインのログ 03

    通常とは異なる移動

    リスク検出のシミュレート

    Azureは機械学習を使用して「通常とは異なる移動」を検出します。ある程度の学習が必要なため、以下のような前提条件があります。

    • 14日間のサインイン履歴
    • 10回のログイン

    必ずしも成功するとは限らないですが、「Identity Protection でのリスク検出のシミュレーション」では以下のような方法で「通常とは異なる移動」が再現できると述べています。

    • 標準的なブラウザーを使用して、https://myapps.microsoft.com に移動します。
    • 特殊な移動のリスク検出を生成するアカウントの資格情報を入力します。
    • ユーザー エージェントを変更します。 開発者ツール (F12) から Microsoft Edge のユーザー エージェントを変更できます。
    • IP アドレスを変更します。 VPN または Tor アドオンを使用するか、Azure 上に別のデータ センターの新しい仮想マシンを作成することで、IP アドレスを変更できます。
    • 前と同じ資格情報を使用し、前のサインインから数分以内に、https://myapps.microsoft.com にサインインします。

    アクセスログの確認

    「通常とは異なる移動」のシミュレーションに成功した場合は、「リスクの検出」画面に以下のようなログが表示されます。

    通常とは異なる移動 01

    タイトルとURLをコピーしました