AzureAD IdentityProtectionを使って怪しげなアクセスに対してのみ多要素認証を求めてみる
こんにちは!
だんだん寒くなってきて家から出るのが辛くなってきました・・・・・
テレワークしてると家から出るってことを忘れてしまいそうになっちゃいますね!!
運動もしないと・・・・笑
昨今の事情で社外からのアクセスがどんどん増えてますね!!
それに伴ってセキュリティがとっても気になるよってお声をいただきます。
とりあえず主観でざっくりできることを記載してみました!
あまりにざっくりなので参考レベルでお願いします・・・笑
でもユーザー側のアクセス方法を純粋に増やすと嫌がられちゃうって声はよく聞きます。困ったな・・・・ってことで!笑
今回はAzureADの機能を使って怪しいなってアクセスのみに多要素認証を求めるように設定してみます!
今回は「AzureAD Identity Protection」を使っていきます。
すでに設定方法やそれって何が違うの?ってことについては以下のブログに書かれてました!!
上記を読んでめっちゃ簡単に説明すると
「AzureADで認証するときにAzureADがグローバルで保有している脅威データや機械学習を利用してたてた傾向を基に怪しいアクセスを判定してあげるよ!」
ってことでした!(サインインリスクポリシーについてですが!)
そもそもIdentity Protectionでは以下の2つのポリシーが利用できます。
①サインインリスクポリシー
②ユーザーリスクポリシー
①は上記にの「」に書いたようなことを実施してくれます。
②はサインインのタイミングだけでなく「オフライン」の活動についてもチェックしてくれるとのこと!!
でもまあ、、、、オフラインってなんやねんってなりました!笑
よく読むとダークウェブとかで対象のアカウントやパスワードのやり取りが行われているかどうかの監視をしてくれるみたいです。
多分以下みたいなことができると判断!!
下図の左側はAzureって書いてますが、Microsoft365(Office365)もAzureADの認証を利用するので同様の動きです。
今回②の検証するのはちょいハードル高め・・・・ってことで
①のサインインリスクポリシーについて検証してみます。
- 検証方法
①検証にはAzureAD P2ライセンスを利用します。
②通常時のテストユーザーアクセスはEdge
③怪しいアクセスはTor Browserを利用(アカウントは②と同様のテストユーザー)
- 設定方法
AzureADの管理センターにログオンしAzureActiveDirectoryをクリック
セキュリティをクリック
Identity Protectionをクリック
サインインリスクポリシーをクリック
「割り当て」のユーザーをクリックしてその後設定対象ユーザーを選択
今回はテスト的に「上司A」というユーザーのみ指定していますが、
グループでの指定も可能です。
サインインリスクをクリックして、どのレベルのリスクに対して制御をかけるかクリックし、完了をクリック
リスクが「低、中、高」だと分からない・・・・ってなるかと思うのですが、それの内容は公開されてないんです!!!言ったらあかんのは当たり前か・・・笑
リスクの詳細が知りたい方はこちらをどうぞ!
アクセスをクリックし、アクセスの許可にチェックし、多要素認証を要求するにもチェックし、完了をクリック
ポリシーを適用するがオンになっていなければオンにして保存をクリック
設定は以上です!!あとはユーザーアクセスを確認していきます。
- ユーザーアクセス画面
1.通常ログオン時の画面遷移
2.Torブラウザでの怪しいアクセス再現
無事怪しいアクセスの時のみ多要素認証を求めるように設定できました。
- おまけ
上記のような怪しいアクセスがあったかどうかは管理画面からも確認できます。
この検証した際のログは2行目です。
その後1行目は。。。。。。あれ???不正アクセスきてる???笑
危険なサインインの画面に移動し確認すると、このサインインをOKとするかNGとするかを手動でもチェックできるようになっています!
誤検知した際はこれでOK!
なお、今回のブログではユーザーリスクポリシーは設定していないのですが、ブログ書いてるときに確認してみたら。。。。。
なぬ・・・・漏えいの可能性大・・・・
ってことで急ぎパスワードを変更したのでした・・・・
めでたしめでたし?!?!?!?!
- 最後に
Twitterでも情報発信したいと思いますので、興味があったらフォローしてください!