この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
Azure AD Identity Protection 機能を利用することで、Identity に関する次のようなリスクを検出できる場合があります。
- 匿名 IP アドレスの使用
- 特殊な移動
- マルウェアにリンクした IP アドレス
- 通常とは異なるサインインプロパティ
- 漏洩した資格情報
- パスワードスプレー
- etc.
(引用元)Azure Active Directory Identity Protection とは - Microsoft Entra | Microsoft Learn
今回のブログでは「匿名 IP アドレスの使用」の検出を試してみました。
試してみた
Azure AD Identity Protection のドキュメントは次ページにまとまっています。
Azure AD Identity Protection のドキュメント - Microsoft Entra | Microsoft Learn
前提条件として、Identity Protection の利用には Azure AD Premium ライセンスが必要な機能があります。今回のブログの環境は Premium P2 ライセンスです。
(引用元)Azure Active Directory Identity Protection とは - Microsoft Entra | Microsoft Learn
Identity Protection の概要
始めに、Azure Portal で Identity Protection の画面を確認してみます。
Identity Protection は「セキュリティ」メニューにあります。
「Identity Protection」を選択します。
現状では検出件数は 0 件の状況です。デフォルトで有効化されているようです。
Identity Protection では危険なユーザーの検出と危険なサインインの検出ができ、次のドキュメントに検出するリスクの詳細があります。ライセンスにより検出される内容が異なります。
また、ワークロード ID のリスクも検出できるようです。
リスクの検出時は危険度も合わせて表示されます。リスクポリシー機能や条件付きアクセス機能と組み合わせることで、検出したリスクに応じてアクセスを制限することができます。例えば、アクセスをブロックしたり、多要素認証を要求したりできます。
Azure AD Identity Protection のリスクベースのアクセス ポリシー - Microsoft Entra | Microsoft Learn
今回は「匿名 IP アドレス」を検出させてみたいと思います。検出内容を通知させたいため、通知の設定から始めます。
通知の設定
通知の設定方法は次のドキュメントに記載があります。
Azure Active Directory Identity Protection の通知 - Microsoft Entra | Microsoft Learn
通知設定は「リスクのあるユーザーが検出された警告」から設定します。
アラートメールの送信先と送信対象とするリスクレベルを設定します。今回はリスクレベル低以上でアラートを送信する設定とします。保存して反映します。
検出時の警告(通知)とは別に週間ダイジェストをメールで受け取ることもできます。
匿名 IP アドレスの検出
匿名 IP アドレスに関するリスクの説明は次の通りです。
このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。
(引用元)リスクとは Azure AD Identity Protection - Microsoft Entra | Microsoft Learn
リスク検出のシミュレーション方法は次のドキュメントに記載があり、Tor Browser を利用することで確認できます。
Azure AD Identity Protection でのリスク検出のシミュレーション - Microsoft Entra | Microsoft Learn
早速、Tor Browser で https://myapps.microsoft.com にアクセスしてサインインしてみます(Tor Browser のインストール方法・使い方については割愛します)。
10~15 分以内にダッシュボードへ反映されるようです。少し時間をおいて確認するとリスクが表示されていました。危険度中の表示です。
危険なユーザーの一覧画面です。
ユーザーのサインイン履歴から認証に関するより詳細な情報を確認できます。Tor Browser からのアクセスのため、異なる場所と IP アドレスからのアクセスとなっていました。また、下記画像では確認できませんが、認証の失敗も記録されます。
レポートの「リスク検出」メニューからリスク検出の履歴を確認することもできます。
通知メールも確認できました。「View detailed report」は危険なユーザー画面へのリンクとなっています。
リスクへの対応
リスクが検出されたユーザーに対してはリスクが問題なかったかどうかを確認します。確認結果に応じて「ユーザーに対するセキュリティ侵害を確認する」か「ユーザー リスクを無視する」の対応ができます。「ユーザーに対するセキュリティ侵害を確認する」を選択するとユーザーの危険度が高に変更されます。
リスクへの対応方法は次の Microsoft のブログで詳しく紹介されています。対応フローの紹介や各ステップで何をするのかが分かりやすく解説されています。
User at risk detected のメールを受け取ったときの対応について | Japan Azure Identity Support Blog
リスクポリシーの設定
リスクポリシーを設定することで、リスクレベル(危険度)に応じてアクセスをブロックできます。
リスク中以上のサインインをブロックする設定を試してみます。
再度 Tor Browser でアクセスしてみたところ、サインインがブロックされて管理者に問い合わせてくださいとのメッセージが表示されました。
なお、上記の Azure Portal 画面にも表示されていますが、より多くの条件で制御したい場合は条件付きアクセスの利用がおすすめされます。条件付きアクセスへの移行は次のドキュメントに記載があります。
Identity Protection から条件付きアクセスにリスク ポリシーを移行する
さいごに
AZ-500 の勉強をしており、自身の復習も兼ねて Azure AD Identity Protection の動作を確認してみました。
このブログがどなたかのご参考になれば幸いです。
2
