Azure AD Identity Protection
Azure AD Identity Protectionは、Azure AD Premium P2ライセンスを前提として利用可能なIDガバナンス機能です。
ID ベースのリスクの検出と修復を自動化します。
ポータルのデータを使用してリスクを調査します。
リスク検出データを SIEM にエクスポートします。
ざっくり言うとリスクの検出・調査・エクスポートが可能な機能です。MicrosoftがXboxにおいて培ったコンシューマー向けの知見とAzureADのサービス提供によって得られた知見からリスクを特定します。
本記事ではAzurePortalベースでアクセスできる機能について確認します。
リスクに対するポリシー定義
[保護]の部分からリスクへの対処の設定をすることができます。
ユーザーリスクポリシー
割り当てたユーザに対して高・中・低のリスクが特定された場合にアクセスをブロックするのか、アクセスを許可するのか(レポートのみ)、アクセスを許可するがパスワードの変更を要求するのかといったポリシーが設定可能です。
サインインリスクポリシー
こちらはユーザーリスクポリシーと似ていますが、制御としてアクセス許可の際にMFAを要求するオプションを選択できるようになっています。
MFA登録ポリシー
こちらは、特定のユーザ・グループに対してリスクの評価を関係なくMFAを強制する設定が可能です。
レポート
危険なユーザ、ワークロードID、サインイン、そしてそれらのリスク全体といった形でフィルタをかけつつレポートとして確認することができます。
グローバル管理者・セキュリティ管理者・セキュリティ閲覧者に[連絡用メールアドレス]が構成されている場合、警告をメール送信する宛先として自動で追加されます。
おわり
Identity Protectionによって特定されたリスクは条件付きアクセスの条件の一つとして含めることが可能なため、Premium P2をお持ちの際は試してもよい機能かと思います。