Microsoft Entra ID Protection(旧称:Azure AD Identity Protection)は、Microsoft Entra ID(旧Azure AD)に組み込まれたIDベースのリスク検出・調査・自動対応を行うセキュリティ機能です。
主な機能
- リスクの検出:サインインやユーザーに関するリスク(例:漏洩した認証情報、異常なサインイン、匿名IPの使用など)を自動で検出。
- リスクベースのポリシー適用:条件付きアクセスと連携し、リスクに応じてアクセスをブロック、MFAを要求、パスワードリセットを強制などの対応が可能。
- 自動修復:ユーザーが正当な手段で本人確認を完了すれば、リスク状態を自動的に解除。
- SIEM連携:Microsoft Sentinelなどの外部ツールと連携して、リスクイベントの監視・分析が可能。
Microsoft Entra ID Protection でできること
Microsoft Entra ID Protection は、ID(ユーザーアカウント)に関するリスクを検出・調査・修復するためのクラウドベースのセキュリティ機能です。主に以下のようなことが可能です。
1. リスクの検出
- サインインリスク:匿名IP、トルネード攻撃、異常な場所からのアクセスなど。
- ユーザーリスク:漏洩した認証情報の使用、マルウェアによるアカウント乗っ取りの兆候など。
Microsoftは1日あたり78兆件以上の信号を分析し、リスクをリアルタイムで検出しています。
2. リスクベースのポリシー適用
条件付きアクセスと連携し、リスクに応じて以下のような対応が可能です。
- MFA(多要素認証)の要求
- パスワードリセットの強制
- アクセスのブロック
3. 自動修復と手動対応
ユーザーが正当な手段で本人確認を完了すれば、リスク状態は自動的に解除されます。
管理者は、Microsoft Defender XDRやGraph APIを通じて手動でリスクを確認・修復することも可能です。
4. SIEM連携とログ出力
Microsoft SentinelやLog AnalyticsなどのSIEMツールと連携し、リスクイベントを外部で分析・可視化できます。
利用に必要なライセンス
Microsoft Entra ID Protection を利用するには、Microsoft Entra ID P2 ライセンスが必要です。
Microsoft Entra ID Protection の設定手順
ID Protection の導入と設定は以下のステップで構成されます。
1. 前提条件の確認
Microsoft Entra ID P2 ライセンス(または Microsoft 365 E5)が必要。
管理者アカウントに適切なロール(セキュリティ管理者、条件付きアクセス管理者など)が割り当てられていること。
2. リスクポリシーの設計と展開
- ユーザーリスクポリシー:リスクのあるユーザーに対して MFA やパスワードリセットを要求。
- サインインリスクポリシー:異常なサインインに対してアクセス制御を実施。
- MFA 登録ポリシー:ユーザーが多要素認証を登録するよう強制。
これらのポリシーは Microsoft Entra 管理センターから設定できます。
3. リスク検出とレポートの確認
「リスクのあるユーザー」「リスクのあるサインイン」などのレポートを確認し、ポリシーの効果を評価します。
必要に応じて、Microsoft Graph API や Microsoft Sentinel との連携も可能です。
4. ユーザーによる自己修復の有効化
条件付きアクセスと連携し、ユーザーが自らリスクを解消できるように設定します(例:MFAでの本人確認後にリスク解除)。
