Azure AD の Identity Protection を利用してアカウント盗用の脅威に備える

インターネットサービスの拡大に伴い、アカウントが盗用される事例があとを絶ちません。特に企業で利用しているアカウントは、盗用されることによって大きな被害を受けることがあり、個人情報や機密情報の流出により信用を失うケースも発生しています。

このような脅威から企業を守るため、Azure AD にはアカウント保護のための Identity Protection という機能が用意されています。今回は Identity Protection 機能の概要と設定方法について解説します。

Identity Protectionとは

Identity Protection は Azure AD Premium P2 ライセンスで利用可能な機能で、マイクロソフトが持つ膨大なデータと AI によって ID に関するリスクを検出/保護することができます。
また、「ユーザーリスクポリシー」と「サインインリスクポリシー」という２つのポリシーを設定することができ、それぞれの違いは以下のようになっています。

ユーザーリスクポリシー

ユーザー(ID)/パスワードの資格情報がダークウェブ上などに流出されていないかを監視します。流出されていることを確認すると設定したリスクレベルに応じて制御（パスワードリセットの強制/アクセスのブロック）をします。

サインインリスクポリシー

ユーザーがサインインした際にリアルタイムのリスクを検知し、設定したリスクレベルに応じて制御（多要素認証の要求/アクセスのブロック）をします。
例えばユーザーが Torブラウザー（接続経路を匿名化するブラウザー）を利用した場合などに検知されます。

「ユーザーリスクポリシー」設定方法

１．Azure portal ( https://portal.azure.com ) にて、[Azure Active Directory] – [セキュリティ] – [Identity Protection] の順にクリックします。

２．Identity Protection の画面で、[ユーザーリスクポリシー] をクリックします。

３．ポリシーの設定画面が表示されます。
「ユーザー」では制御の対象とするユーザーを「すべてのユーザー・個別のユーザー・グループ」から選択することができます。

４．「ユーザーのリスク」ではリスクレベルを「低以上・中以上・高」から選択できます。設定したリスクレベルが低いほど小さなリスクでも検知されやすくなりますが、Microsoft ではリスクレベル高を推奨しています。
※ オンプレミスの Active Directory からパスワード同期をしていて、かつ「アクセスを許可＋パスワードの変更を要求」を選択した場合、パスワードライトバックの設定が有効である必要があります。

５．「アクセス」ではユーザーリスクを検知した際に「アクセスのブロック」させるのか、「アクセスを許可」させるのか、「アクセスを許可＋パスワードの変更を要求」させるのか選択することができます。Microsoft では「アクセスを許可＋パスワードの変更を要求」を推奨しています。

６．各設定項目の入力が完了したら、画面下部にある「ポリシーを適用する」を「オン」にし、「保存」することで完了です。

「サインインリスクポリシー」設定方法

１．Azure portal ( https://portal.azure.com ) にて、[Azure Active Directory] – [セキュリティ] – [Identity Protection] の順にクリックします。

２．Identity Protection の画面で、[サインインリスクポリシー] をクリックします。

３．ポリシーの設定画面が表示されます。
「ユーザー」では制御の対象とするユーザーを「すべてのユーザー・個別のユーザー・グループ」から選択することができます。

４．「ユーザーのリスク」ではリスクレベルを「低以上・中以上・高」から選択できます。設定したリスクレベルが低いほど小さなリスクでも検知されやすくなりますが、Microsoft ではリスクレベル中以上を推奨しています。

５．「アクセス」ではサインインリスクを検知した際に「アクセスのブロック」させるのか、「アクセスを許可」させるのか、「アクセスを許可＋多要素認証を要求」させるのか選択することができます。Microsoft では「アクセスを許可＋多要素認証の要求」を推奨しています。
※ 「アクセスを許可＋多要素認証の要求」を設定する場合は事前に多要素認証設定をする必要があります。

６．各設定項目の入力が完了したら、画面下部にある「ポリシーを適用する」を「オン」にし、「保存」することで完了です。

ポリシー有効時の動作

サインインリスクポリシーを有効化した状態で、Torブラウザーからアクセスするとどうなるか見てみます。
以下のように不審なアクティビティとして検知され、サインインをするには多要素認証が求められるようになりました。