Azure AD Identity Protectionのリスク検出を試してみた

Azure AD Identity Protectionのリスク検出を試してみた

#Azure AD
#Microsoft Azure
yhana

yhana

facebook logohatena logotwitter logo
Clock Icon2023.01.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Azure AD Identity Protection 機能を利用することで、Identity に関する次のようなリスクを検出できる場合があります。

  • 匿名 IP アドレスの使用
  • 特殊な移動
  • マルウェアにリンクした IP アドレス
  • 通常とは異なるサインインプロパティ
  • 漏洩した資格情報
  • パスワードスプレー
  • etc.

(引用元)Azure Active Directory Identity Protection とは - Microsoft Entra | Microsoft Learn

今回のブログでは「匿名 IP アドレスの使用」の検出を試してみました。

試してみた

Azure AD Identity Protection のドキュメントは次ページにまとまっています。

Azure AD Identity Protection のドキュメント - Microsoft Entra | Microsoft Learn


前提条件として、Identity Protection の利用には Azure AD Premium ライセンスが必要な機能があります。今回のブログの環境は Premium P2 ライセンスです。

(引用元)Azure Active Directory Identity Protection とは - Microsoft Entra | Microsoft Learn


Identity Protection の概要

始めに、Azure Portal で Identity Protection の画面を確認してみます。

Identity Protection は「セキュリティ」メニューにあります。

「Identity Protection」を選択します。

現状では検出件数は 0 件の状況です。デフォルトで有効化されているようです。

Identity Protection では危険なユーザーの検出と危険なサインインの検出ができ、次のドキュメントに検出するリスクの詳細があります。ライセンスにより検出される内容が異なります。

また、ワークロード ID のリスクも検出できるようです。

リスクの検出時は危険度も合わせて表示されます。リスクポリシー機能や条件付きアクセス機能と組み合わせることで、検出したリスクに応じてアクセスを制限することができます。例えば、アクセスをブロックしたり、多要素認証を要求したりできます。

Azure AD Identity Protection のリスクベースのアクセス ポリシー - Microsoft Entra | Microsoft Learn

今回は「匿名 IP アドレス」を検出させてみたいと思います。検出内容を通知させたいため、通知の設定から始めます。


通知の設定

通知の設定方法は次のドキュメントに記載があります。

Azure Active Directory Identity Protection の通知 - Microsoft Entra | Microsoft Learn

通知設定は「リスクのあるユーザーが検出された警告」から設定します。

アラートメールの送信先と送信対象とするリスクレベルを設定します。今回はリスクレベル以上でアラートを送信する設定とします。保存して反映します。

検出時の警告(通知)とは別に週間ダイジェストをメールで受け取ることもできます。

週間ダイジェスト電子メール


匿名 IP アドレスの検出

匿名 IP アドレスに関するリスクの説明は次の通りです。

このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。

(引用元)リスクとは Azure AD Identity Protection - Microsoft Entra | Microsoft Learn


リスク検出のシミュレーション方法は次のドキュメントに記載があり、Tor Browser を利用することで確認できます。

Azure AD Identity Protection でのリスク検出のシミュレーション - Microsoft Entra | Microsoft Learn


早速、Tor Browser で https://myapps.microsoft.com にアクセスしてサインインしてみます(Tor Browser のインストール方法・使い方については割愛します)。

10~15 分以内にダッシュボードへ反映されるようです。少し時間をおいて確認するとリスクが表示されていました。危険度の表示です。

危険なユーザーの一覧画面です。

ユーザーのサインイン履歴から認証に関するより詳細な情報を確認できます。Tor Browser からのアクセスのため、異なる場所と IP アドレスからのアクセスとなっていました。また、下記画像では確認できませんが、認証の失敗も記録されます。

レポートの「リスク検出」メニューからリスク検出の履歴を確認することもできます。

通知メールも確認できました。「View detailed report」は危険なユーザー画面へのリンクとなっています。


リスクへの対応

リスクが検出されたユーザーに対してはリスクが問題なかったかどうかを確認します。確認結果に応じて「ユーザーに対するセキュリティ侵害を確認する」か「ユーザー リスクを無視する」の対応ができます。「ユーザーに対するセキュリティ侵害を確認する」を選択するとユーザーの危険度がに変更されます。

リスクへの対応方法は次の Microsoft のブログで詳しく紹介されています。対応フローの紹介や各ステップで何をするのかが分かりやすく解説されています。

User at risk detected のメールを受け取ったときの対応について | Japan Azure Identity Support Blog


リスクポリシーの設定

リスクポリシーを設定することで、リスクレベル(危険度)に応じてアクセスをブロックできます。

リスク以上のサインインをブロックする設定を試してみます。

再度 Tor Browser でアクセスしてみたところ、サインインがブロックされて管理者に問い合わせてくださいとのメッセージが表示されました。

なお、上記の Azure Portal 画面にも表示されていますが、より多くの条件で制御したい場合は条件付きアクセスの利用がおすすめされます。条件付きアクセスへの移行は次のドキュメントに記載があります。

Identity Protection から条件付きアクセスにリスク ポリシーを移行する

さいごに

AZ-500 の勉強をしており、自身の復習も兼ねて Azure AD Identity Protection の動作を確認してみました。

このブログがどなたかのご参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Microsoft Entra ID から自動プロビジョニングしている AWS IAM Identity Center の SCIM アクセストークンをローテーションする

Microsoft Entra ID から自動プロビジョニングしている AWS IAM Identity Center の SCIM アクセストークンをローテーションする

User avatar
yhana
2024.02.24
Jump アカウント構成で外部 ID プロバイダとして Entra ID を利用する

Jump アカウント構成で外部 ID プロバイダとして Entra ID を利用する

User avatar
yhana
2024.02.12
非 AWS Organizations 環境の AWS アカウントに Entra ID ユーザーでアクセスする

非 AWS Organizations 環境の AWS アカウントに Entra ID ユーザーでアクセスする

User avatar
yhana
2024.02.12
Microsoft Entra ID のエンタイトルメント管理機能を利用して AWS へのアクセスの承認を委任する方法

Microsoft Entra ID のエンタイトルメント管理機能を利用して AWS へのアクセスの承認を委任する方法

User avatar
yhana
2023.11.11
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.