Microsoft Entra ID Protection と条件付きアクセスを使うと、次のことができます。
- ユーザーに対して Microsoft Entra 多要素認証への登録を必須にする
- 危険なサインインと侵害されたユーザーを自動的に修復する
- 特定のケースでユーザーをブロックする。
ユーザーとサインインのリスクを統合する条件付きアクセス ポリシーは、ユーザーのサインイン エクスペリエンスに影響します。 ユーザーが Microsoft Entra 多要素認証やセルフサービス パスワード リセットなどのツールを使用できるようにすることで、影響を軽減できます。 これらのツールは、適切なポリシーの選択と共に、強力なセキュリティ制御を適用しながら、ユーザーが必要なときに自己修復オプションを提供します。
多要素認証登録
管理者が Microsoft Entra 多要素認証の登録を必要とする ID 保護ポリシーを有効にすると、ユーザーは Microsoft Entra 多要素認証を使用して自己修復できます。 このポリシーを構成すると、ユーザーは登録する 14 日間の期間が与え、その後、ユーザーは強制的に登録されます。
登録中断
Microsoft Entra 統合アプリケーションにサインインするときに、ユーザーはアカウントを多要素認証に設定することを求める通知を受け取ります。 このポリシーは、新しいデバイスを使用する新しいユーザーに対する Windows Out of Box Experience でもトリガーされます。
ガイド付き手順を完了して、Microsoft Entra 多要素認証に登録し、サインインします。
リスクの自己修復
管理者がリスクベースの条件付きアクセス ポリシーを構成すると、影響を受けるユーザーは構成されたリスク レベルに達すると処理が中断されます。 管理者が多要素認証を使用した自己修復を許可すると、このプロセスは通常の多要素認証プロンプトとしてユーザーに表示されます。
ユーザーが多要素認証を完了すると、リスクが修復され、サインインできます。
サインインだけでなく、ユーザーが危険にさらされている場合、管理者は条件付きアクセスでユーザー リスク ポリシーを構成して、多要素認証に加えてパスワードの変更を要求できます。 その場合、ユーザーには次の追加画面が表示されます。
管理者による危険なサインインの解除
管理者は、リスク レベルに応じて、サインイン時にユーザーをブロックする場合があります。 ブロックを解除するには、ユーザーは IT スタッフに連絡するか、使い慣れた場所またはデバイスからサインインを試す必要があります。 この場合、自己修復は選択できません。
IT スタッフは、「 ユーザーのブロックを解除する 」の手順に従って、ユーザーがサインインし直せるようにすることができます。
危険度の高い技術者
ホーム テナントで自己修復ポリシーが有効になっていない場合は、技術者のホーム テナントの管理者がリスクを修復する必要があります。 次に例を示します。
- 組織に、クラウド環境の構成を担当するマネージド サービス プロバイダー (MSP) またはクラウド ソリューション プロバイダー (CSP) があります。
- MSP 技術者の資格情報の 1 つが漏洩し、高リスクがトリガーされます。 その技術者が、他のテナントへのサインインをブロックされます。
- ホーム テナントで危険度の高いユーザーのパスワード変更を必要とする該当のポリシーまたは危険なユーザーの MFA が有効になっている場合、技術者は自己修復してサインインできます。
- ホーム テナントで自己修復ポリシーが有効になっていない場合は、技術者のホーム テナントの管理者がリスクを修復する必要があります。