概要
Entra ID(Azure)はMicrosoft 365の認証基盤として利用されています。
この記事ではEntra IDの機能やサインインログについて調べたことをまとめます。
※補足:サービス名称の変更
Entra IDの機能
条件付きアクセス
条件付きアクセスとは、Entra IDの認証に対してアクセス制御できる機能です。
Entra IDはあらゆる場所やデバイス、アプリケーションから認証が行える為、誰でも、どこからでも認証試行ができてしまいます。
上記のようなリスクへの対策として条件付きアクセスがあります。
アクセス制御には多要素認証の要求や、Intune登録端末からのみ認証を許可する等の制御ができます。
Entra ID Protection
Entra ID Protectionとは、なりすましなどの不正アクセスに関する分析機能です。
この機能によって不正アクセスと判断された場合は、自動的にアクセスをブロックするなどの ID保護機能も有しています。
この機能によるリスク評価には「危険なユーザー」、「危険なサインイン」があります。
また、リスク評価の詳細は、Entra ID Premium P2以上で確認ができ、FreeおよびEntra ID Premium P1では検出のみ可能です。
リスク評価の内容
危険なユーザー | 過去インターネット上に流出したことがあるIDとパスワード |
危険なサインイン | Torや多段プロキシ等を利用し秘匿化されたIPアドレスからのサインイン、普段アクセスしない場所からのサインイン等 |
※なお、一度上記のリスク判定を受けたユーザであっても、その後のアクセスでアクセスコントロールに合格すると自動的に「修復済み」の状態になります。
参考情報
ログの種類や含まれる情報
ログの確認方法
Entra IDのログはポータルから確認することができます。
ログはJSONまたはCSV形式でエクスポート可能ですが、人間の目でチェックするならばCSV形式の方が見やすいです。
JSONではサインイン1件あたりのデータ量がCSV形式よりも多くあり、出力する期間を長くするとエラーとなったり、エクスポートに時間がかかる場合があります。
Entra IDではさまざまな種類のサインインを扱っており、ログも分かれて出力されます。
ログの種類
対話型ユーザーサインイン(interactive User Sign-in)」
「対話型ユーザーサインイン(interactive User Sign-in)」はユーザーが認証に必要なパスワードや二要素認証のコードなどを提供する種類のサインインです。
非対話型ユーザーサインイン(Non-interactive User Sign-in)
「非対話型ユーザーサインイン(Non-interactive User Sign-in)」は、ユーザーに代わってクライアントアプリやOSコンポーネントが実行するサインインのことです。
対話型ユーザーサインインとは異なり、非対話型ユーザーサインインでは、ユーザーが認証する代わりに、デバイスまたはクライアントアプリケーションがトークンを使用して認証します。
上記のトークンについては以下のサイトが参考になりました。
トークンとは、Microsoft 365ユーザーの認証が完了したらアプリケーションに対して発行されるものです。
TeamsやExchange Online等のEntra IDと連携しているクラウド上のサービスにアプリがアクセスしようとした際、そのアプリはユーザーの認証を要求します。
ユーザーがEntra IDで認証すると、Entra IDからサービスにアクセスするためのトークンが発行されアプリに渡されます。
アプリはそのトークンをサービスに提示することでTeams等にアクセスできるようになります。
サインインログには認証結果やその他詳細な情報も含まれています。
例として、多要素認証を設定している環境において認証が成功した際には成功した場合は「MFA completed in Azure AD」と表示されますが、多要素認証が失敗している場合は「MFA required in Azure AD」と出力されます。
上記のような情報から不正アクセスがあった際にはアクセス状況を読み取ることができる場合があります。
また、MFAを設定していてもバイパスされていると思われる事例などもあるようです。
なお、基本的に不正サインインが確認された場合はアカウントの停止やパスワードリセット等の対応が求められます。
参考にさせていただいたサイト
貴重な情報をありがとうございます。