サインイン リスクが上昇した場合に多要素認証を要求する

ほとんどのユーザーは、追跡できる通常の動作を持っています。 その動作がこの基準を下回った場合、サインインさせるのは危険な場合があります。 ユーザーをブロックしたり、多要素認証を完了して自分の ID を確認するように依頼したりすることができます。

サインイン リスクは、認証要求が ID 所有者からではない可能性を表します。 Microsoft Entra ID P2 ライセンスを所持する組織では、Microsoft Entra ID 保護のサインイン リスク検出を組み込んだ条件付きアクセス ポリシーを作成できます。

サインイン リスクベースのポリシーを使用すると、危険なセッション中にユーザーが MFA を登録できなくなります。 ユーザーが MFA に登録されていない場合、危険なサインインはブロックされ、AADSTS53004 エラーが発生します。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールです。 ポリシーから次のアカウントを除外することをお勧めします。

• ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされる可能性が低いシナリオでは、緊急アクセス管理者アカウントを使用してサインインし、アクセスを回復できます。
  • 詳細は、「Microsoft Entra ID で緊急アクセス用アカウントの管理」の記事を参照してください。
• サービス アカウントとサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型アカウントです。 通常、アプリケーションへのプログラムによるアクセスを許可するためにバックエンド サービスによって使用されますが、管理目的でシステムにサインインするためにも使用されます。 サービス プリンシパルによって行われた呼び出しは、ユーザーを対象とする条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
  • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合は、 それらをマネージド ID に置き換えます。

Template deployment

組織は、以下で説明する手順に従うか、 条件付きアクセス テンプレートを使用して、このポリシーを展開できます。

条件付きアクセス ポリシーを有効にする

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Conditional Access に移動します。
3. [新しいポリシー] を選択します。
4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
   1. [Include](含める) で、 [すべてのユーザー] を選択します。
   2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
   3. 完了 を選択します。
6. [Cloud アプリまたはアクション]>[含める] で、[すべてのリソース] (旧称 "すべてのクラウド アプリ") を選択します。
7. [条件]>[ログイン リスク] で、[構成] を [はい] に設定します。
   1. [このポリシーを適用するサインイン リスク レベルを選択します] で、 [高] と [中] を選択します。 このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります
   2. 完了 を選択します。
8. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
   1. [認証強度を要求する] を選択し、一覧から組み込みの認証強度である [多要素認証] を選択します。
   2. [選択] を選びます。
9. [セッション] で
   1. [サインインの頻度] を選択します。
   2. [毎回] が選択されていることを確認します。
   3. [選択] を選びます。
10. 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
11. [作成] を選択して、ポリシーを作成および有効化します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

パスワードレスのシナリオ

パスワードレス認証方法を採用している組織の場合は、次の変更を行います。

パスワードレス サインイン リスク ポリシーを更新する

1. [ユーザー] で:
   1. [対象] で [ユーザーとグループ] を選択し、パスワードレスのユーザーを対象にします。
   2. [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
   3. 完了 を選択します。
2. [クラウド アプリまたは操作]>[対象] で、[すべてのリソース] (旧称 [すべてのクラウド アプリ]) を選択します。
3. [条件]>[ログイン リスク] で、[構成] を [はい] に設定します。
   1. [このポリシーを適用するサインイン リスク レベルを選択します] で、 [高] と [中] を選択します。 リスク レベルの詳細については、「許容されるリスク レベルの選択」を参照してください。
   2. 完了 を選択します。
4. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
   1. [認証強度が必要] を選択してから、対象のユーザーが持つ方法に基づいて、組み込みの [パスワードレス MFA] または [フィッシング防止 MFA] を選択します。
   2. [選択] を選びます。
5. [セッション] で:
   1. [サインインの頻度] を選択します。
   2. [毎回] が選択されていることを確認します。
   3. [選択] を選びます。

関連するコンテンツ

• 毎回の再認証を要求する
• リスクを修復してユーザーをブロック解除する
• Conditional Access common policies (条件付きアクセスの一般的なポリシー)
• ユーザー リスクベースの条件付きアクセス
• 条件付きアクセスのレポート専用モードを使用した影響を判断する
• 条件付きアクセスのレポート専用モードを使用して、新しいポリシー決定の結果を判断します
• クロステナント アクセス設定を構成する