Language:
Microsoft Entra ID 保護 (旧 Identity Protection) は、Entra ID の危険なユーザーを特定します。使用するには、Microsoft Entra ID P2 ライセンスが必要です。Microsoft のリスク検出に関するドキュメントで説明されているように、リスク検出は次の 2 種類があります。
ユーザーは次のような場合にリスクがあると見なされます。
リスクレベルは次の 3 つです。
条件付きアクセスポリシーを使用して、システムがリスクのあるユーザーを特定した時にセキュリティ対策が施行されるようにしてください。 BOD 25-01 により強制される、CISA 「Microsoft Entra ID の M365 セキュア設定ベースライン」の MS.AAD.2.1v1 ポリシーでは、「高リスクとして検出されたユーザーはブロックされる」ことが求められます。CISA ガイダンスに従う場合、この IoE は、少なくとも 1 つの条件付きアクセスポリシーに次の設定が含まれていることを確認します。
代わりに、Microsoft の推奨事項に従う場合、この IoE は、少なくとも 1 つの条件付きアクセスポリシーに次の設定が含まれていることを確認します。
テナントをすべての高リスクユーザーから保護するためには、テナントに対して有効な条件付きアクセスポリシー (CAP) が設定されている必要があります。
Tenable では、ビジネスの中断を最小限に抑えるため、リスクレベルが [高] のユーザーのみをブロックすることを推奨しています。 CISA と Microsoft は、このリスクの防止方法について意見が異なっています。
Tenable では、CISA ガイダンスに従うことを推奨します。これが最も安全なアプローチだからです。しかし同時に、最も制限の厳しい設定でもあるため、IoE で提供されているオプションを使用して、簡単に Microsoft の推奨事項に切り替えることができます。
そうするために、次の方法で CAP を作成できます。
CISA ガイダンスではなく Microsoft の推奨事項に従う場合は、Microsoft の「Require password change for high-risk users」(高リスクユーザーにパスワード変更を要求する) CAP テンプレートも使用できます。Microsoft の推奨設定を有効にした場合、このテンプレートは、この IoE で概説されているすべての基準を満たしています。
注意: Microsoft と Tenable はどちらも、テナント全体のアカウントロックアウトや望まない副作用を防ぐために、条件付きアクセスポリシーから特定のアカウントを除外することを推奨しています。Tenable は、Microsoft ドキュメント「条件付きアクセスのデプロイを計画する」に従うことも推奨しています。これにより、適切な計画と変更管理を確保でき、自分がロックアウトされるリスクも軽減されます。特に、Microsoft Entra Connect や Microsoft Entra Cloud Sync のようなハイブリッド ID ソリューションを使用している場合、条件付きアクセスポリシーに準拠できないため、ポリシーからサービスアカウント](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/policy-risk-based-user#user-exclusions)[を除外する必要があります。[[ユーザーを除外](https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-conditional-access-users-groups#exclude-users)] アクションを使用してサービスアカウントを直接除外するか、[ディレクトリロール] オプションを確認して [ディレクトリ同期アカウント] ロールを選択します。
CAP の設定は侵害を防ぐために不可欠ですが、報告されたリスクに対するフォレンジック調査はされません。詳細については、Microsoft 提供の調査ガイドをご覧ください。
名前: 強制措置が適用されていない、リスクのあるユーザー
コード名: RISKY-USERS-WITHOUT-ENFORCEMENT
深刻度: Medium
タイプ: Microsoft Entra ID Indicator of Exposure