次の方法で共有

リスク ポリシーの構成と有効化

  • [アーティクル]

Microsoft Entra 条件付きアクセスには、2 つの種類の設定可能なリスク ポリシーがあります。 これらのポリシーを使用してリスクへの応答を自動化し、リスクが検出されたときにユーザーが自己修復をできるようにします。

条件としてリスクを示す条件付きアクセス ポリシーのスクリーンショット。

許容されるリスク レベルの選択

組織は、ユーザー エクスペリエンスとセキュリティ態勢のバランスを取るため、アクセス管理を求めるリスクのレベルを決定する必要があります。

」のリスク レベルでアクセス管理を適用することを選択すると、ポリシーがトリガーされる回数が減り、ユーザーの手間が最小限になります。 ただし、「」と「」リスクをポリシーから除外しているため、攻撃者が侵害された ID を悪用することを防げない場合があります。 必要なアクセス管理に「」のリスク レベルを選択すると、発生するユーザー割り込みが増えます。

構成済の信頼されたネットワークの場所は、Microsoft Entra ID 保護によって一部のリスク検出に使用され、偽陽性を低減します。

次のポリシー構成には、危険なユーザーとログインに対して再認証を求めるログログイン頻度のセッション制御が含まれます。

Microsoft の推奨事項

Microsoft は組織を保護するため、次のリスク ポリシー構成を推奨しています。

  • ユーザー リスク ポリシー
    • ユーザーのリスク レベルが「」のとき、セキュリティで保護されたパスワード変更を求めます。 ユーザーがパスワード ライトバックで新しいパスワードを作成してリスクを修復する前に、Microsoft Entra 多要素認証が必要です。
  • サインイン リスク ポリシー
    • サインイン リスク レベルが「」または「」のときに Microsoft Entra 多要素認証を要め、ユーザーが登録済みの認証方法のいずれかを使用して身元を証明し、サインイン リスクを修復できるようにします。

リスク レベルが低いときにアクセス管理を要求すると、「中」または「高」よりも多くの手間とユーザーへの割り込みが発生します。 安全なパスワード変更や多要素認証などの自己修復オプションの許可ではなく、アクセスのブロックを選択した場合、ユーザーと管理者がさらに影響を受けます。 ポリシーを構成するとき、この選択内容をよく検討してください。

リスク修復

組織は、リスクが検出されたときにアクセスをブロックすることを選択できます。 ブロックすると、正当なユーザーが必要な操作を実行できなくなります。 より適切な解決策は、ユーザーが自己修復できるようにするユーザーログインのリスクベースの条件付きアクセス ポリシーを構成することです。

警告

ユーザーは修復が必要な状況に直面する前に、Microsoft Entra 多要素認証に登録する必要があります。 オンプレミスで同期されているハイブリッド ユーザーには、パスワード ライトバックが有効になっている必要があります。 登録されていないユーザーはブロックされ、管理者の介入が必要になります。

危険なユーザー ポリシーの修復フロー以外のパスワード変更 (パスワードが分かっていて、新しいものに変更したい場合) は、安全パスワード変更の要件を満たしていません。

ポリシーの有効化

組織は、次の手順を使用して条件付きアクセスにリスクベース ポリシーを展開することを選択するか、条件付きアクセス テンプレートを使用できます。

組織がこれらのポリシーを有効にする前に、すべてのアクティブなリスクを調査して修復するアクションを実行する必要があります。

ポリシーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

  • テナント全体でアカウント ロックアウトを防止する緊急アクセスまたは非常用アクセスのアカウント。 発生する可能性は低いシナリオでは、すべての管理者がテナントからロックアウトされ、ユーザーの緊急アクセス用管理者アカウントを使用してテナントにログインし、アクセス復旧の手順を実行できます。
  • サービス アカウントサービス プリンシパル (Microsoft Entra Connect の同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 MFA はプログラムによって完了できないため、このようなサービス アカウントは対象外にする必要があります。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用し、サービス プリンシパルを対象とするポリシーを定義します。
    • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。 これらの特定のアカウントは、一時的な回避策としてベースライン ポリシーから除外することができます。

条件付きアクセスでのユーザー リスク ポリシー

  1. Microsoft Entra 管理センター条件付きアクセス管理者 以上の権限でサインインします。
  2. [保護]>[条件付きアクセス] に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 組織がポリシーの名前に対して有意義な標準を作成することをお勧めします。
  5. [課題] で、[ユーザーまたはワークロード ID] を選択します。
    1. [含める] で、[すべてのユーザー] を選択します。
    2. [除外][ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [完了] を選択します。
  6. [クラウド アプリまたはアクション]>[含める] で、[すべてのクラウド アプリ] を選択します。
  7. [条件]>[ユーザー リスク] で、[構成][はい] に設定します。
    1. [ポリシーを実施するために必要なユーザー リスク レベルの構成] で、[高] を選択します。 このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります
    2. [完了] を選択します。
  8. [アクセス管理]>[許可] で。
    1. [アクセスの許可][多要素認証を求める][パスワードの変更を求める] を選択します。
    2. [選択] を選択します。
  9. [セッション] で。
    1. [ログインの頻度] を選択します。
    2. [毎回] が選択されていることを確認します。
    3. [選択] を選択します。
  10. 設定を確認し、[ポリシーの有効化][レポート専用] に設定します。
  11. [作成] を選択し、ポリシーを作成して有効にします。

管理者は [レポート専用モード] を使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に切り替えることができます。

条件付きアクセスのサインイン リスク ポリシー

  1. Microsoft Entra 管理センター条件付きアクセス管理者 以上の権限でサインインします。
  2. [保護]>[条件付きアクセス] に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 組織がポリシーの名前に対して有意義な標準を作成することをお勧めします。
  5. [課題] で、[ユーザーまたはワークロード ID] を選択します。
    1. [含める] で、[すべてのユーザー] を選択します。
    2. [除外][ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
    3. [完了] を選択します。
  6. [クラウド アプリまたはアクション]>[含める] で、[すべてのクラウド アプリ] を選択します。
  7. [条件]>[ログイン リスク] で、[構成][はい] に設定します。
    1. [このポリシーを適用するサインイン リスク レベルの選択] で、 [高][中] を選択します。 このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります
    2. [完了] を選択します。
  8. [アクセス管理]>[許可] で。
    1. [アクセスの許可][多要素認証を要める] を選択します。
    2. [選択] を選択します。
  9. [セッション] で。
    1. [ログインの頻度] を選択します。
    2. [毎回] が選択されていることを確認します。
    3. [選択] を選択します。
  10. 設定を確認し、[ポリシーの有効化][レポート専用] に設定します。
  11. [作成] を選択し、ポリシーを作成して有効にします。

管理者は [レポート専用モード] を使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に切り替えることができます。

リスク ポリシーを条件付きアクセスに移行

Microsoft Entra ID 保護で有効なレガシ リスク ポリシーがある場合は、次のように条件付きアクセスに移行することを計画する必要があります。

警告

Microsoft Entra ID 保護 で構成されたレガシ リスク ポリシーは、2026 年 10 月 1 日に廃止されます。

条件付きアクセスへの移行

  1. レポート専用モードの条件付きアクセスで、ユーザー リスクベースサインイン リスクベース同等のポリシーを作成します。 Microsoft の推奨事項と組織の要件に基づき、前の手順または条件付きアクセス テンプレートを使用してポリシーを作成することができます。
    1. 管理者は [レポート専用モード] を使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に切り替えることができます。
  2. ID Protection の古いリスク ポリシーを無効にします。
    1. [保護]>[ID 保護]> に移動し、[ユーザーのリスク] または [ログインのリスク] ポリシーを選択します。
    2. [ポリシーの実施][無効] に設定します。
  3. 条件付きアクセスで必要な場合、その他のリスク ポリシーを作成します。

関連するコンテンツ