Entra ID の上位機能!ID Protectionで悪い奴らをブロックしよう!

2025年10月22日

Entra ID Protectionとは

Entra IDで利用されているユーザー ID に対して発生する様々な危険な挙動を動的に検知して、その調査と修復を支援する機能です( Entra ID P2ライセンスが必要)

危険な挙動は ID Protection では「リスク」と呼ばれ、例えば以下のようなものが挙げられます。

•匿名 IP アドレスからのサインイン (Tor ブラウザーなどの接続元を隠蔽するツールを利用してサインインされた)

•あり得ない移動 (先ほどまで日本にいたのに直後に他の国からサインインが行われた)

•漏洩した資格情報 (インターネット上にユーザーの ID とパスワードのペアが漏洩した)

2種類のリスク

サインインリスク

主にサインインアクティビティに対して評価/検出されるリスク

例)

・匿名 IP アドレスからのサインイン

・不可能な移動

・悪意のあるIPアドレス など

(参考情報)https://learn.microsoft.com/ja-jp/entra/id-protection/concept-identity-protection-risks#sign-in-risk-detections-mapped-to-riskeventtype

ユーザリスク

主にユーザアカウント自体に対して評価/検出されるリスク

例)

・漏洩した資格情報

・ユーザーからの疑わしいアクティビティの報告(身に覚えのないMFA要求)→https://mitsurublog.com/post-11597/#toc_id_2

・異常なユーザアクティビティ(サインイン後の異常な動作)など

(参考情報)https://learn.microsoft.com/ja-jp/entra/id-protection/concept-identity-protection-risks#user-risk-detections-mapped-to-riskeventtype

条件付きアクセスポリシーとの関係

リスク検出の結果は、条件付きアクセスポリシーで利用します。

条件として「リスクレベル」を指定でき、アクションとして「ブロック」したり、「MFA要求」を指定できます。

デモ

通常のブラウザ(Edge)からはM365へアクセス可能であるが、匿名ブラウザ(Torブラウザ)からはブロックされる

(参考)Microsoft Entra ID Protection でリスク検出をシミュレートする

https://learn.microsoft.com/ja-jp/entra/id-protection/howto-identity-protection-simulate-risk

補足:サインインリスクポリシー、ユーザリスクポリシーの廃止について

•サインインリスクポリシーとユーザリスクポリシーは、条件付きアクセスポリシーへ統合されます

•条件付きアクセスポリシーは、サインインリスクポリシーとユーザリスクポリシーの機能を内包しています

現時点で新規作成・設定変更できなくなっています。2026年10月1日までUIも廃止されます。

WEST-CLOUD

Posted by MITSUAKI TSURUTA