ワークロード ID のセキュリティを実装する
Microsoft Entra ID Protection は、これまで ID ベースのリスクの検出、調査、修復においてユーザーを保護してきました。 Identity Potection では、アプリケーション、サービス プリンシパル、マネージド ID を保護するようこれらの機能をワークロード ID に拡張しました。
ワークロード ID とは、アプリケーションまたはサービス プリンシパルが (場合によってはユーザーのコンテキストにある) リソースにアクセスすることを可能にする ID です。 これらのワークロード ID は、従来のユーザー アカウントとは次のように異なります。
- 多要素認証を実行できません。
- 通常、正式なライフサイクル プロセスがありません。
- 資格情報またはシークレットをどこかに保存する必要があります。
これらの違いによって、ワークロード ID の管理が難しくなり、侵害リスクが高くなります。
ワークロード ID 保護を使用するための要件
新しい [リスクの高いワークロード ID (プレビュー)] ブレードや [リスク検出] ブレードの [ワークロード ID 検出] タブなど、ワークロード ID リスクを利用するには、Azure portal で次が必要です。
Microsoft Entra ID Premium P2 ライセンス
ログインしているは、次のいずれかに割り当てられる必要があります。
- 全体管理者
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
検出されるリスクの種類
| 検出名 | 検出の種類 | 説明 |
|---|---|---|
| Microsoft Entra の脅威インテリジェンス | オフライン | このリスク検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づいて既知の攻撃パターンに一致するアクティビティを示しています。 |
| 疑わしいサインイン | オフライン | このリスク検出は、このサービス プリンシパルにとって通常とは異なるサインイン プロパティまたはパターンを示します。 |
| この検出機能は、2 日から 60 日の間に、テナント内のワークロード ID の基本的なサインイン動作を学習し、その後のサインイン時に1 つ以上の見慣れないプロパティIP アドレス/ASN、ターゲットリソース、ユーザーエージェント、ホスティング/非ホスティング IP の変更、IP カントリー、クレデンシャルタイプ。(IP アドレス/ASN、ターゲット リソース、ユーザー エージェント、ホスティング/非ホスティング IP の変更、IP の国、資格情報の種類) が現れた場合に警告を発します。 | ||
| OAuth アプリへの通常とは異なる資格情報の追加 | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出により、OAuth アプリへの特権資格情報の疑わしい追加が識別されます。 これは、攻撃者によってアプリが侵害され、悪意のあるアクティビティに使用されていることを示している可能性があります。 |
| 管理者がアカウントのセキュリティ侵害を確認しました | オフライン | この検出は、管理者が "危険なワークロード ID" UI で、または riskyServicePrincipals API を使用して、[セキュリティ侵害を確認しますか?] を選択したことを示します。 このアカウントに対するセキュリティが侵害されたことを確認した管理者を調べるには、アカウントのリスク履歴を (UI または API 経由で) 確認します。 |
| 漏洩した資格情報 (パブリック プレビュー) | オフライン | このリスク検出は、アカウントの有効な資格情報が漏洩したことを示します。 この漏洩は、他のユーザーが GitHub のパブリック コード アーティファクトで資格情報にチェックインしたとき、またはデータ侵害によって資格情報が漏洩したときに発生する可能性があります。 |
条件付きアクセス保護を追加する
ワークロード ID に条件付きアクセスを使用すると、Identity Protection で "危険" としてマークするときに選択した特定のアカウントのアクセスをブロックできます。ポリシーは、お使いのテナントに登録されているシングル テナント サービス プリンシパルに適用できます。 サード パーティの SaaS、マルチテナント アプリ、マネージド ID はスコープ外です。