Microsoft Entra ID 保護におけるリスク検出のシミュレーション
管理者は、次の項目を実現するために、環境内のリスクをシミュレートすることができます。
- リスク検出と脆弱性をシミュレートして、ID Protection 環境にデータを入力する。
- リスクベースの条件付きアクセス ポリシーを設定し、それらのポリシーの影響をテストする。
このセクションでは、次の種類のリスク検出をシミュレーションする手順を説明します。
- 匿名 IP アドレス (容易)
- 見慣れないサインイン プロパティ (中程度)
- 特殊な移動 (難解)
- ワークロード ID 用の GitHub の漏洩した資格情報 (中程度)
他のリスク検出は、安全な方法でシミュレートできません。
各リスク検出に関するより詳細な情報については、ユーザーとワークロード ID に関するリスクの概要の記事を参照してください。
匿名 IP アドレス
次の手順を完了するには、以下を使用する必要があります。
- 匿名 IP アドレスをシミュレートするための Tor Browser。 組織が Tor Browser の使用を制限している場合は、仮想マシンの使用が必要になることがあります。
- まだ Microsoft Entra 多要素認証用に登録されていないテスト アカウント。
匿名 IP からサインインをシミュレートするには、次の手順を実行します。
- Tor Browser を使用して https://myapps.microsoft.com に移動します。
- [匿名 IP アドレスからのサインイン] レポートに表示させるアカウントの認証情報を入力します。
サインイン履歴は、10 分から 15 分以内にレポートに表示されます。
通常とは異なるサインイン プロパティ
未知の場所をシミュレートするには、テスト アカウントが以前に使用したことのない場所とデバイスを使用する必要があります。
以下の手順では、次のものを新たに作成して使用します。
- 新しい場所をシミュレーションするための VPN 接続。
- 新しいデバイスをシミュレートするための仮想マシン。
以下の手順を完了するには、次のようなユーザー アカウントを使用する必要があります。
- 30 日以上のサインイン履歴がある。
- Microsoft Entra 多要素認証を備えている。
未知の場所からのサインインをシミュレーションするには、次の手順を実行します。
- 新しい VPN を使用して、https://myapps.microsoft.com に移動し、テスト アカウントの資格情報を入力します。
- テスト アカウントでサインインするときに、多要素認証チャレンジを完了しないことで、MFA チャレンジを失敗させます。
サインイン履歴は、10 分から 15 分以内にレポートに表示されます。
特殊な移動パターン
通常とは異なる移動状態のシミュレーションは困難です。 アルゴリズムでは、機械学習を使用して、既知のデバイスからの通常とは異なる移動や、ディレクトリ内の他のユーザーによって使用される VPN からのサインインなどの誤検知が除去されます。 さらに、このアルゴリズムでは、リスク検出の生成を開始する前に、そのユーザーの 14 日間のサインイン履歴または 10 回のログインが必要です。 複雑な機械学習モデルと上記のルールのため、次の手順ではリスク検出がトリガーされないこともあります。 特殊な移動パターンの検出をシミュレーションするには、複数の Microsoft Entra アカウントでこれらの手順を繰り返さなければならない場合があります。
特殊な移動のリスク検出をシミュレートするには、次の手順を実行します。
- 標準的なブラウザーを使用して、https://myapps.microsoft.com に移動します。
- 特殊な移動のリスク検出を生成するアカウントの資格情報を入力します。
- ユーザー エージェントを変更します。 開発者ツール (F12) から Microsoft Edge のユーザー エージェントを変更できます。
- IP アドレスを変更します。 VPN または Tor アドオンを使用するか、Azure 上に別のデータ センターの新しい仮想マシンを作成することで、IP アドレスを変更できます。
- 前と同じ認証情報を使用して、前回のサインインから数分以内に、https://myapps.microsoft.com にサインインします。
サインイン履歴は、2 時間から 4 時間以内にレポートに表示されます。
ワークロード ID 用の漏洩した認証情報
このリスク検出は、アプリケーションの有効な資格情報が漏洩したことを示します。 この漏洩は、だれかが GitHub のパブリック コード アーティファクトで認証情報にチェックインしたときに発生する場合があります。 そのため、この検出をシミュレートするには GitHub アカウントが必要であり、それがまだない場合は GitHub アカウントにサインアップできます。
ワークロード ID 用の GitHub の漏洩した資格情報をシミュレートする
セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[アプリの登録] に移動します。
[新規登録] を選択して新しいアプリケーションを登録するか、または既存の古いアプリケーションを再利用します。
[証明書とシークレット]>[新しいクライアント シークレット] の順に選択し、クライアント シークレットの説明を追加してシークレットの有効期限を設定するか、またはカスタムの有効期間を指定し、[追加] を選択します。 後で GitHub コミットに使用するために、シークレットの値を記録します。
注意
このページを離れた後、シークレットを再度取得することはできません。
[概要] ページで、テナント ID とアプリケーション (クライアント) ID を取得します。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[プロパティ] の順に移動し、[ユーザーのサインインが有効になっていますか?] を [いいえ] に設定して、アプリケーションを必ず無効にしてください。>
パブリックの GitHub リポジトリを作成し、次の構成を追加して、変更を拡張子 .txt のファイルとしてコミットします。
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",約 8 時間以内に、[Protection] (保護)>[Identity Protection] (IP 保護)>[リスク検出]>[ワークロード ID の検出] で漏洩した資格情報の検出が表示できるようになります。そこに示される他の情報には、GitHub コミットの URL が含まれます。
リスク ポリシーのテスト
このセクションでは、ユーザー リスク ポリシーとサインイン リスク ポリシーをテストする手順を示します。これらのポリシーは、記事「方法: リスク ポリシーを構成して有効にする」を参照してください。
ユーザー リスクのポリシー
ユーザー リスク セキュリティ ポリシーをテストするには、次の手順に従います。
- テストするユーザーを対象とするユーザー リスク ポリシーを構成します。
- テスト アカウントのユーザーのリスクを評価します。たとえば、リスク検出のいずれかを数回シミュレートします。
- 数分待った後、そのユーザーのリスクが上昇したことを確認します。 そうでない場合は、そのユーザーに対するリスク検出をさらにシミュレートします。
- リスク ポリシーに戻り、 [ポリシーの適用] を [オン] に設定し、ポリシーの変更を [保存] します。
- これで、リスク レベルを上げたユーザーを使用してサインインすることで、ユーザーのリスクに基づく条件付きアクセスをテストできます。
サインインのリスク セキュリティ ポリシー
サインイン リスク ポリシーをテストするには、次の手順に従います。
- テストするユーザーを対象とするサインイン リスク ポリシーを構成します。
- これで、リスクの高いセッションを使用してサインインすることで (たとえば、Tor Browser を使用して)、サインインのリスクに基づく条件付きアクセスをテストできます。