認証プロンプトの分析ブック

IT プロフェッショナルは、環境内で認証プロンプトに関する正しい情報を得ることで、予期しないプロンプトを検出して調査を進められるようにすることを望みます。 この種の情報を提供することは、認証プロンプト分析ブックの目的です。

前提条件

Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。

• Premium P1 ライセンスがある Microsoft Entra テナント
• Log Analytics ワークスペース および そのワークスペースへのアクセス
• Azure Monitor と Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Microsoft Entra ブックを使用するには、その前に Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスは、いくつかの要因によって決まります。 ワークスペースとデータを送信するリソースに適したロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロールが用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセス権を付与する 2 つの Log Analytics 組み込みロールも用意されています。

• 表示:

  • 監視閲覧者
  • Log Analytics 閲覧者

• 設定を表示および変更する:

  • 監視共同作成者
  • Log Analytics 共同作成者

Microsoft Entra ロール

読み取り専用アクセスを使用すると、ブック内の Microsoft Entra ID ログ データの表示、Log Analytics からのデータのクエリ、または Microsoft Entra 管理センターでのログの読み取りを行うことができます。 更新アクセスにより、診断設定を作成および編集して、Microsoft Entra データを Log Analytics ワークスペースに送信する機能が追加されます。

• 読み取り:

  • レポート閲覧者
  • セキュリティ閲覧者
  • グローバル閲覧者

• 更新:

  • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。

説明

ユーザーから最近、認証プロンプトが多すぎることに関して不満を聞いたことがありますか。

ユーザーへのプロンプトが過剰になると、ユーザーの生産性に影響を与える可能性があり、ユーザーが MFA に関してフィッシングの対象になってしまうことも少なくありません。 明確にするために言うと、MFA が不可欠です。 MFA を要求する必要があるかどうかではなく、ユーザーにプロンプトを表示する頻度について説明しています。

一般的に、このシナリオの原因となるものを以下に示します。

• アプリケーションが正しく構成されていない
• 過剰に厳しいプロンプト ポリシー
• サイバー攻撃

認証プロンプトの分析ブックでは、さまざまな種類の認証プロンプトが明記されています。 種類は、ユーザー、アプリケーション、オペレーティング システム、プロセスなど、さまざまなピボットに基づいています。

このブックは、次のシナリオで使用できます。

• プロンプトが多すぎることについて大量のフィードバックが送られてきました。
• 1 つの具体的な認証方法、ポリシー適用、またはデバイスに起因する過剰プロンプトを検出するため。
• 注目を集めるユーザーの認証プロンプト数を見るため。
• レガシ TLS およびその他の認証プロセスの詳細を追跡するため。

ブックにアクセスする方法

1. 適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。

2. [ID]>[監視と正常性]>[ブック] の順に移動します。

3. [使用状況] セクションから、[認証プロンプト分析] ブックを選択します。

ブックのセクション

このブックでは、認証プロンプトを以下で分類します。

• メソッド
• デバイスの状態
• アプリケーション
• ユーザー
• 状態
• オペレーティング システム
• プロセスの詳細
• ポリシー

多くの環境では、最も使用されるアプリはビジネス生産性向上アプリです。 想定されていないものは調査する必要があります。 次のグラフは、アプリケーションごとの認証プロンプトを示しています。

アプリケーションごとのプロンプト数リスト ビューには、タイムスタンプ、調査に役立つ要求 ID などの追加情報が表示されます。

さらに、テナントの平均および中央値のプロンプト数の概要が表示されます。

このブックは、ユーザーのエクスペリエンスを向上させてプロンプト数と相対的割合を減らすための影響力ある方法を追跡するのにも役立ちます。

フィルター

フィルターを利用して、データの表示粒度をより細かくします。

数多くの認証要求を持つ特定のユーザーにフィルタリングしたりサインイン エラーのあるアプリケーションだけを表示したりすることで、修復を継続することの興味深い結果が得られる可能性もあります。

ベスト プラクティス

• データが正しく表示されないか、正しく表示されないと思われる場合は、[Log Analytics ワークスペース] と [サブスクリプション] を適切なリソースで設定したことを確認してください。

  

• ビジュアルの読み込みに時間がかかりすぎる場合は、時間フィルターを 24 時間以下に減らしてみてください。

  

• MFA プロンプトに影響するさまざまなポリシーの詳細については、「再認証プロンプトを最適化し、Microsoft Entra 多要素認証のセッションの有効期間について理解する」を参照してください。

• 通信ベースのメソッドから Authenticator アプリにユーザーを移動する方法については、「Microsoft Authenticator を設定するための登録キャンペーンを実行する方法 - Microsoft Authenticator アプリ」を参照してください。