Microsoft Entra ID Protection を使うと、組織が ID に関するリスクを検出、調査、修復できます。 これらのリスクは、条件付きアクセスなどのツールに組み込んでアクセスの決定を行ったり、セキュリティ情報およびイベント管理 (SIEM) ツールに送信してさらに調査と相関関係を得ることができます。
リスクの検出
Microsoft は、組織を保護するために、カタログ内の検出に対して継続的に追加および更新を行っています。 これらの検出情報は、Active Directory、Microsoft アカウント、Xbox を使用したゲームから 1 日数兆に及ぶ信号の分析に基づく学習から得られるものです。 この広範囲の信号は、ID 保護が次のような危険な動作を検出できるようにします。
- 匿名 IP アドレスの使用
- パスワード スプレー攻撃
- 漏洩した資格情報
- その他...
ID Protection は、サインインのたびにすべてのリアルタイム サインイン検出を実行し、サインインが侵害される可能性を示すサインイン セッション リスク レベルを生成します。 このリスク レベルに基づいて、ユーザーと組織を保護するためのポリシーが適用されます。
リスクとその検出方法の完全な一覧については、「リスクとは」の記事を参照してください。
調査
ID で検出されたすべてのリスクは、レポートを使用して管理されます。 ID 保護は、管理者がリスクを調査してアクションを実行するため、次の 3 つの主要なレポートが用意されています。
- リスク検出: 検出された各リスクは、リスク検出として報告されます。
- 危険なサインイン: 危険なサインインは、そのサインインに対して 1 つ以上のリスク検出が報告されると報告されます。
-
危険なユーザー: 危険なユーザーは、次のいずれかまたは両方が成り立つ場合に報告されます:
- ユーザーに 1 つ以上の危険なサインインがある。
- 1 つ以上のリスク検出が報告された。
レポートの使用方法の詳細については、「方法: リスクを調査する」の記事を参照してください。
リスクを修復する
シグナルと攻撃の規模を維持するには自動化が必要であるため、セキュリティでは自動化が重要です。
Microsoft Digital Defense Report 2024 には、次の統計情報が表示されます。
1日あたり78兆件のセキュリティ信号を分析し、前年から13兆件増加
1 日あたり 6 億件の Microsoft 顧客への攻撃
人間が操作するランサムウェア攻撃で前年比2.75倍増加
これらの統計は上昇傾向を続け、減速の兆候はありません。 この環境では、IT 組織が適切な優先順位に集中できるように、自動化がリスクの特定と修復の鍵となります。
自動修復
リスクベースの条件付きアクセス ポリシーを有効にすると、強力な認証方法の提供などのアクセス制御を要求したり、多要素認証を実行したり、検出されたリスク レベルに基づく安全なパスワード リセットを実行したりできます。 ユーザーがアクセス制御を正常に完了すると、リスクは自動的に修復されます。
手動による修復
ユーザーの修復が有効になっていない場合、管理者は、ポータル、API、または Microsoft Defender XDR のレポートで手動で確認する必要があります。 管理者は、リスクの無視、安全な確認、または侵害の確認を行う手動アクションを実行できます。
データの活用
ID 保護からのデータは、アーカイブ、さらなる調査、関連付けのために他のツールにエクスポートすることができます。 Microsoft Graph ベースの API を使用すると、組織はこのデータを収集し、SIEM などのツールでさらに処理することができます。 ID 保護 API へのアクセス方法の詳細については、「Microsoft Entra ID 保護と Microsoft Graph の概要」の記事を参照してください
ID 保護の情報と Microsoft Sentinel の統合に関する詳細については、「Microsoft Entra ID 保護でデータの接続」の記事を参照してください。
組織は Microsoft Entra ID 内の診断設定を変更することにより、より長い期間にわたってデータを保存できます。 Log Analytics ワークスペースへのデータの送信、ストレージ アカウントへのデータのアーカイブ、Event Hubs へのデータのストリーミング、または別のソリューションへのデータの送信を選択できます。 その方法の詳細については、記事「方法: リスク データをエクスポートする」を参照してください。
必要なロール
ID 保護では、ユーザーに次のロールの 1 つ以上を割り当てる必要があります。
| 役割 | できること | できないこと |
|---|---|---|
| グローバル閲覧者 | ID 保護への読み取り専用アクセス | ID Protection への書き込みアクセス |
| ユーザー管理者 | ユーザー パスワードのリセット | ID Protection の読み取りまたは書き込み |
| 条件付きアクセス管理者 | ユーザーまたはサインインのリスクを条件として考慮するポリシーを作成する | 従来の ID 保護ポリシーの読み取りまたは書き込み |
| セキュリティ閲覧者 | すべての ID 保護レポートと概要の表示 | ポリシーを構成または変更する ユーザーのパスワードをリセットする アラートを構成する 検出に関するフィードバックを送信する |
| セキュリティ オペレーター | すべての ID 保護レポートと概要の表示 ユーザー リスクを無視し、安全なサインインを確認して、セキュリティ侵害を確認する |
ポリシーを構成または変更する ユーザーのパスワードをリセットする アラートを構成する |
| セキュリティ管理者 | ID 保護のフル アクセス | ユーザーのパスワードのリセット |
ライセンス要件
この機能を使用するには、Microsoft Entra ID P2 ライセンスが必要です。 要件に適したライセンスを見つけるには、Microsoft Entra のプランと価格
| 機能 | 詳細 | Microsoft Entra ID Free/Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
|---|---|---|---|---|
| リスク ポリシー | ログインとユーザー リスク ポリシー (ID 保護または条件付きアクセスを介して) | いいえ | いいえ | はい |
| セキュリティ レポート | 概要 | いいえ | いいえ | はい |
| セキュリティ レポート | 危険なユーザー | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | フル アクセス |
| セキュリティ レポート | リスクの高いサインイン | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | フル アクセス |
| セキュリティ レポート | リスク検出 | いいえ | 限定的な情報。 詳細ドロアーは提供されません。 | フル アクセス |
| 通知 | 危険な状態のユーザーが検出されたアラート | いいえ | いいえ | はい |
| 通知 | 週間ダイジェスト | いいえ | いいえ | はい |
| MFA 登録ポリシー | MFA を要求する (条件付きアクセスを使用) | いいえ | いいえ | はい |
| Microsoft Graph | すべてのリスク レポート | いいえ | いいえ | はい |
リスク検出レポートの [危険なワークロード ID ] レポートと [ ワークロード ID 検出] タブを表示 するには、ワークロード ID Premium ライセンスが必要です。 詳細については、「ワークロード ID をセキュリティで保護する」を参照してください。
Microsoft Defender
Microsoft Entra ID Protection は、いくつかのリスク検出のために Microsoft Defender 製品からシグナルを受信するため、関心のあるシグナルを所有する Microsoft Defender 製品の適切なライセンスも必要です。
Microsoft 365 E5 には、次のすべてのシグナルが含まれます。
Microsoft Defender for Cloud Apps
- 匿名 IP アドレスからのアクティビティ
- 不可能な移動
- 機密ファイルへの大量アクセス
- 初めての国
Microsoft Defender for Office 365
- 疑わしい受信トレイルール
Microsoft Defender for Endpoint
- プライマリ更新トークンへのアクセスが試行される可能性があります