Microsoft Entra ID 保護とは
Microsoft Entra ID 保護は、組織が ID ベースのリスクを検出、調査、修復するのために役立ちます。 これらの ID ベースのリスクは、アクセスの意思決定を行うために条件付きアクセスなどのツールに入力したり、さらなる調査や関連付けのためにセキュリティ情報イベント管理 (SIEM) ツールに戻して入力したりすることができます。
リスクの検出
Microsoft は組織を保護するため、カタログの検出情報を継続的に追加と更新を行っています。 これらの検出情報は、Active Directory、Microsoft アカウント、Xbox を使用したゲームから 1 日数兆に及ぶ信号の分析に基づく学習から得られるものです。 この広範囲の信号は、ID 保護が次のような危険な動作を検出できるようにします。
- 匿名 IP アドレスの使用
- パスワードのスプレー攻撃
- 漏洩した認証情報
- その他...
各サインイン中、ID 保護はすべてのリアルタイム ログイン検出を実行し、ログイン セッションのリスク レベルを生成し、ログインが侵害された可能性の高さを示します。 このリスク レベルに基づいて、ユーザーと組織を保護するためにポリシーが適用されます。
リスクとその検出方法の完全なリストについては、「リスクとは」の記事を参照してください。
調査
ID で検出されたすべてのリスクは、レポートを使用して管理されます。 ID 保護は、管理者がリスクを調査してアクションを実行するため、次の 3 つの主要なレポートが用意されています。
- リスク検出: 検出された各リスクは、リスク検出として報告されます。
- 危険なサインイン: 危険なサインインは、そのサインインに対して 1 つ以上のリスク検出が報告されるときに報告されます。
- 危険なユーザー: 危険なユーザーは、次のいずれかまたは両方が成り立つ場合に報告されます。
- ユーザーに 1 つ以上の危険なサインインがある。
- 1 つ以上のリスク検出が報告されている。
レポートの使用方法の詳細については、「リスクを調査する方法」の記事を参照してください。
リスクの修復
セキュリティで自動化が不可欠な理由
2022 年 2 月 3 日付けの「サイバー信号: 最新の研究、分析情報、トレンドでサイバーの脅威から身を守る」というブログ投稿では、Microsoft は次の統計情報を含む脅威インテリジェンスの概要を共有しました。
分析した内容: 「24 兆に及ぶセキュリティ信号に加え、40 か国を超える国家グループと 140 を超える脅威グループを監視して追跡している情報と併せて...」
「...2021 年 1 月から 2021 年 12 月まで、256 億を超える Microsoft Entra のブルート フォース認証攻撃をブロックしました...」
信号と攻撃の実際の規模を維持するため、ある程度の自動化が必要です。
自動修復
リスクベースの条件付きアクセス ポリシーを有効にすると、強力な認証方法の提供、多要素認証の実行、検出されたリスク レベルに基づく安全なパスワード リセットの実行など、アクセス管理を求めることができます。 ユーザーがアクセス管理の完了に成功した場合、リスクは自動的に修復されます。
手動による修復
ユーザー修復が有効になっていないと、管理者はポータル、API 経由、Microsoft 365 Defender のレポートで手動で確認する必要があります。 管理者は、手動アクションを実行してリスクを無視、安全として認め、侵害として確認することができます。
データの活用
ID 保護からのデータは、アーカイブ、さらなる調査、関連付けのために他のツールにエクスポートすることができます。 Microsoft Graph ベースの API を使用すると、組織はこのデータを収集し、SIEM などのツールでさらに処理することができます。 ID 保護 API へのアクセス方法の詳細については、「Microsoft Entra ID 保護と Microsoft Graph の概要」の記事を参照してください
ID 保護の情報と Microsoft Sentinel の統合に関する詳細については、「Microsoft Entra ID 保護でデータの接続」の記事を参照してください。
組織は Microsoft Entra ID 内の診断設定を変更することにより、より長い期間にわたってデータを保存できます。 Log Analytics ワークスペースにデータの送信、ストレージ アカウントにデータのアーカイブ化、Event Hubs にデータのストリーミング、別のソリューションにデータの送信を選択できます。 その方法の詳細については、「リスク データをエクスポートする方法」の記事を参照してください。
必要なロール
ID 保護にアクセスするには、ユーザーが次の役割を 1 つ以上割り当てられている必要があります。
| 役割 | できること | できないこと |
|---|---|---|
| セキュリティ管理者 | ID 保護のフル アクセス | ユーザーのパスワードのリセット |
| セキュリティ オペレーター | すべての ID 保護レポートと概要の表示 ユーザー リスクを無視し、安全なサインインを確認して、セキュリティ侵害を確認する |
ポリシーの構成または変更 ユーザーのパスワードのリセット アラートの構成 |
| セキュリティ閲覧者 | すべての ID 保護レポートと概要の表示 | ポリシーの構成または変更 ユーザーのパスワードのリセット アラートの構成 検出に関するフィードバックの送信 |
| グローバル閲覧者 | ID 保護への読み取り専用アクセス | |
| ユーザー管理者 | ユーザー パスワードのリセット |
現在、セキュリティ オペレーターの役割は危険なサインイン レポートにアクセスできません。
条件付きアクセス管理者は、条件としてユーザーまたはログイン リスクを考慮するポリシーを作成することができます。 詳細については、「条件付きアクセスの条件」の記事を参照してください。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P2 のライセンスが必要です。 要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
| 機能 | 詳細 | Microsoft Entra ID Free/Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| リスク ポリシー | ログインとユーザー リスク ポリシー (ID 保護または条件付きアクセスを介して) | いいえ | いいえ | はい |
| セキュリティ レポート | 概要 | いいえ | いいえ | はい |
| セキュリティ レポート | 危険なユーザー | 限定された情報。 中程度と高程度のリスクがあるユーザーのみが表示されます。 詳細の手がかりやリスクの履歴はありません。 | 限定された情報。 中程度と高程度のリスクがあるユーザーのみが表示されます。 詳細の手がかりやリスクの履歴はありません。 | フル アクセス |
| セキュリティ レポート | 危険なサインイン | 限定された情報。 リスクの詳細やリスク レベルは表示されません。 | 限定された情報。 リスクの詳細やリスク レベルは表示されません。 | フル アクセス |
| セキュリティ レポート | リスク検出 | いいえ | 限定された情報。 詳細の手がかりはありません。 | フル アクセス |
| 通知 | 危険が検出されたアラートのユーザー | いいえ | いいえ | はい |
| 通知 | 週刊ダイジェスト | いいえ | いいえ | はい |
| MFA 登録ポリシー | いいえ | いいえ | はい |
これらの高度なレポートの詳細については、「リスクを調査する方法」の記事を参照してください。
管理センターの [リスク検出] ウィンドウの [危険なワークロード ID] や [ワークロード ID 検出] タブなど、ワークロード ID のリスクを活用するには、ワークロード ID のプレミアム ライセンスが必要になります。 詳細については、「ワークロード ID をセキュリティで保護」の記事を参照してください。