みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。
本日はAzure ActiveDirectoryのレポート機能と通知機能の活用を紹介します。
参考元はこのドキュメントです。
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-view-access-usage-reports
IDの不正な利用を監視する
クラウドサービスを利用するときサービスで利用するIDは非常に重要です。
例えば、Office 365をご利用している皆様は、IDが危険にさらされていないかどうかをどのように確認していますか。
Azure Active Directory では「異常なアクティビティ レポート」を提供しています。
さらに Azure Active Directory Premium をお持ちの場合、そのレポートがより強力になり提供されます。
このレポートを見ていただくだけで、ユーザーが危険にさらされていないか確認することができます。
AzureActive Directoryのレポートのエディション(一部)
| レポート | 無料 | 基本 | プレミアム |
| 異常アクティビティ レポート | |||
| 不明なソースからのサインイン | ✓ | ✓ | ✓ |
| 複数のエラー後のサインイン | ✓ | ✓ | ✓ |
| 複数の地域からのサインイン | ✓ | ✓ | ✓ |
| 不審なアクティビティのある IP アドレスからのサインイン | ✓ | ||
| 感染している可能性があるデバイスからのサインイン | ✓ | ||
| 不規則なサインイン アクティビティ | ✓ | ||
| 異常なサインイン アクティビティがあるユーザー | ✓ | ||
| 資格情報が漏洩したユーザー | ✓ |
Azure Active Directory のレポートはAzure ポータルから確認することができます。
http://manage.windowsazure.com
(上記より[Azure Active Directory]-[「自分のAAD」]- [レポート])
さらに管理者はタイムリーに攻撃の情報を知る必要があります。
Azure Active Directory のレポート通知を使うと”不規則なサインイン″行動が10回行われると管理者にメールを自動的に送付することができます。
このレポート通知機能を利用する場合はAzure Active Directory Premiumのライセンスが必要です。
より高度なID管理
上記レポートを定期的に監視したり、レポート通知の機能で危険を検知することは重要ですが、対象となるユーザーが多い場合は管理者の負荷が上がり運用が回りません。
そこでAzure Active Directory Premium 2では上記のような異常なアクティビティや危険性が確認された時の対応を自動化する機能が提供されています。それが Azure Identity Protectionです。
Azure Identity Protectionは、ユーザーに対するリスクレベルを評価し、定義されているポリシーに基づいて保護のアクションを自動的に実行します。
例えば以下のようなIDに対してそれぞれリスクレベルを設定して、検出した場合追加のアクションをとらせることができます。ユーザー数の多い企業では必須の機能と言えますね。
早速、自社のテナントが外部からの脅威の対象になってないか、確認してみてはいかがでしょうか。