<p><!--META { "title": "Entra ID Identity Protectionの活用", "primary_category": "クラウド>Azure>Entra ID", "secondary_categories": ["IDaaS", "セキュリティ"], "tags": ["Entra ID Identity Protection", "条件付きアクセス", "Graph API", "PowerShell", "リスクベース認証", "MFA"], "summary": "Entra ID Identity Protectionのアーキテクチャ、設定、運用監視、コスト最適化、落とし穴をクラウドアーキテクト視点で解説。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Entra ID Identity Protectionをクラウドアーキテクト視点で深掘り！アーキテクチャから設定、運用監視、コスト、落とし穴まで徹底解説。リスクベース認証でセキュリティを強化しよう。 #EntraID #IdentityProtection #Azure","hashtags":["#EntraID","#IdentityProtection","#Azure"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/entra/identity-protection/overview-identity-protection"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Entra ID Identity Protectionの活用</h1> <p>Entra ID Identity Protection (EIIP) は、組織のIDセキュリティを強化するための重要な機能です。ユーザーとサインインのリスクを自動的に検出し、ポリシーに基づいてリスクを修復または軽減することで、IDベースの攻撃から組織を保護します。クラウドアーキテクトとして、この強力なツールを最大限に活用するためのアプローチを解説します。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>Entra ID Identity Protectionは、Entra IDに統合されたセキュリティ機能であり、Microsoftの膨大な脅威インテリジェンスと機械学習モデルを活用してリスクを評価します。主要な構成要素は「リスクの検出」「リスクポリシー」「修復」の3つです。検出されたリスクは条件付きアクセス (CA) ポリシーと連携し、MFAの強制、パスワードリセット、アクセスブロックなどの自動的なアクションをトリガーできます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD SUBGRAPH A["ユーザーとデバイス"] USR["ユーザー"] --> |サインイン要求| B("Entra ID"); END B --> |認証情報とコンテキスト| C("Entra ID Identity Protection"); C --> |リスク検出と評価| D{"ユーザー/サインインリスク"}; D -- 高リスク --> E["リスクポリシー適用"]; D -- 低リスク --> F["通常アクセス許可"]; E --> |条件付きアクセスと連携| G("条件付きアクセス ポリシー"); G --> |高リスクと判断| H{"アクセス制御"}; H -- MFA要求 --> I["MFAチャレンジ"]; H -- パスワードリセット強制 --> J["パスワードリセット"]; H -- アクセスブロック --> K["アクセスブロック"]; I --> |成功| F; I --> |失敗| K; J --> |成功| F; J --> |失敗| K; C --> L("管理者通知とレポート"); E --> L; K --> L; L --> M["管理者による調査と修復"]; M --> |ユーザーリスクの確認| USR; M --> |リスク状態の変更| C; </pre></div> <p><strong>アイデンティティと権限境界:</strong> EIIPの利用にはEntra ID Premium P2ライセンスが必要です。</p> <ul class="wp-block-list"> <li><p><strong>グローバル管理者 (Global Administrator):</strong> Entra ID全体の管理権限を持ち、EIIPを含むすべての設定変更が可能です。</p></li> <li><p><strong>セキュリティ管理者 (Security Administrator):</strong> セキュリティ関連のすべての機能を管理でき、EIIPのポリシー設定やレポート参照が可能です。</p></li> <li><p><strong>条件付きアクセス管理者 (Conditional Access Administrator):</strong> 条件付きアクセス ポリシーの管理が可能で、EIIPとの連携設定を行います。</p></li> <li><p><strong>Identity Protection管理者 (Identity Protection Administrator):</strong> EIIP固有の管理者ロールで、リスク検出の監視、ポリシーの構成、リスクイベントの確認など、EIIPに関するすべてのタスクを実行できます。最小権限の原則に基づき、可能な限りこのロールを割り当てます。</p></li> </ul> <h2 class="wp-block-heading">設定手順</h2> <p>EIIPの主要な設定は、サインインリスクポリシーとユーザーリスクポリシーです。これらはGraph APIまたはEntra ID管理センターから構成できます。</p> <h3 class="wp-block-heading">1. Entra ID Identity Protection の有効化 (ライセンス確認)</h3> <p>EIIPはEntra ID Premium P2の機能です。適切なライセンスが割り当てられていることを確認してください。</p> <h3 class="wp-block-heading">2. サインインリスクポリシーの設定例 (Graph API/PowerShell)</h3> <p>高リスクのサインインに対してMFAを強制するポリシーを設定する例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Microsoft Graph PowerShell SDKのインストールと接続 # Install-Module Microsoft.Graph -Scope CurrentUser # Connect-MgGraph -Scopes "IdentityRiskyServicePrincipal.ReadWrite.All", "IdentityRiskyUser.ReadWrite.All", "Policy.ReadWrite.ConditionalAccess", "Policy.ReadWrite.IdentityProtection" # サインインリスクポリシーの更新 # 既存のポリシーを更新するため、Get-MgIdentityProtectionSignInRiskPolicy で現在の設定を取得し、必要に応じて変更します。 $signInRiskPolicyId = (Get-MgIdentityProtectionSignInRiskPolicy).Id Update-MgIdentityProtectionSignInRiskPolicy -SignInRiskPolicyId $signInRiskPolicyId ` -State "Enabled" ` -RiskLevel "High" ` -Action @{ 'ActionType' = "BlockAccess" # 検出されたリスクレベルが「高」の場合、アクセスをブロック } # または、MFAを強制する場合: # -Action @{ # 'ActionType' = "Allow" # 条件付きアクセスでMFAを制御するため一旦許可 # } # 上記のポリシーで「Allow」を選択した場合、条件付きアクセスポリシーで対応する。 # 例: サインインリスクが「高」の場合にMFAを必須とする条件付きアクセス # New-MgIdentityConditionalAccessPolicy ... </pre> </div> <h3 class="wp-block-heading">3. ユーザーリスクポリシーの設定例 (Graph API/PowerShell)</h3> <p>リスクのあるユーザーに対してパスワードリセットを強制するポリシーを設定する例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">$userRiskPolicyId = (Get-MgIdentityProtectionUserRiskPolicy).Id Update-MgIdentityProtectionUserRiskPolicy -UserRiskPolicyId $userRiskPolicyId ` -State "Enabled" ` -RiskLevel "High" ` -Action @{ 'ActionType' = "ForcePasswordChange" # 検出されたユーザーリスクレベルが「高」の場合、パスワード変更を強制 } </pre> </div> <p>これらの設定後、Entra ID管理センターの「条件付きアクセス」ブレードで、EIIPからのリスクシグナルをトリガーとするポリシーを構成します。</p> <h2 class="wp-block-heading">運用監視</h2> <p>EIIPの導入効果を最大化するには、継続的な運用監視が不可欠です。</p> <ul class="wp-block-list"> <li><p><strong>Entra ID Identity Protection レポート:</strong></p> <ul> <li><p>「リスクのあるユーザー」「リスクのあるサインイン」「リスク検出」レポートで、検出された脅威と対応を確認します。</p></li> <li><p>これらのレポートは、Entra ID管理センターで確認できます。</p></li> </ul></li> <li><p><strong>監査ログとサインインログ:</strong></p> <ul> <li><p>Entra IDの「監査ログ」と「サインインログ」には、EIIPがトリガーしたイベントや、その後の認証フローの詳細が記録されます。</p></li> <li><p>これらのログをAzure Monitor (Log Analytics) にエクスポートし、Kusto Query Language (KQL) を使用して詳細な分析やカスタムアラートを設定できます。</p></li> </ul></li> <li><p><strong>Microsoft Sentinel / Defender for Cloud Apps:</strong></p> <ul> <li><p>Microsoft SentinelにEntra IDのログを取り込むことで、より高度な脅威ハンティングや相関分析が可能になります。</p></li> <li><p>Defender for Cloud Apps (旧: Microsoft Cloud App Security) と連携することで、クラウドアプリケーションに対するリスクベースのアクセス制御を強化できます。</p></li> </ul></li> <li><p><strong>アラート設定:</strong></p> <ul> <li>Log Analyticsワークスペースに送信されたログデータに対し、特定の条件（例: 高リスクサインインの失敗回数、特定のユーザーのリスクスコア上昇）でアラートを設定し、セキュリティチームに通知します。</li> </ul></li> <li><p><strong>SLA/バックアップ/DR:</strong></p> <ul> <li><p>Entra ID自体はMicrosoftが提供する高可用性サービスであり、SLAが設定されています（Entra ID Premium P2は99.9%）。</p></li> <li><p>テナント設定のバックアップやDRは、Microsoftが提供するEntra IDのグローバルなレプリケーションに依存します。ユーザーデータや設定の直接的なバックアップは不要ですが、設定変更はIaC化することで、設定の誤りからの復旧や監査性を高めることができます。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">セキュリティ</h2> <p>EIIPは、AI/MLベースのリスク評価により、以下のようなセキュリティ強化を実現します。</p> <ul class="wp-block-list"> <li><p><strong>リアルタイムのリスク検出:</strong> 匿名IPからのサインイン、地理的な移動、ボットネット、クレデンシャルスプレー攻撃など、様々な脅威を検出します。</p></li> <li><p><strong>自動修復:</strong> 検出されたリスクに応じてMFA強制、パスワードリセット強制、アクセスブロックなどのアクションを自動で実行し、セキュリティインシデントへの対応時間を短縮します。</p></li> <li><p><strong>条件付きアクセスとの連携:</strong> 高度なアクセス制御と組み合わせることで、特定のユーザー、場所、デバイス、アプリケーションに対するリスクベースのアクセス制限を適用できます。</p></li> <li><p><strong>継続的な改善:</strong> Microsoftのグローバルな脅威インテリジェンスを活用し、新しい攻撃パターンへの対応が継続的に強化されます。</p></li> </ul> <h2 class="wp-block-heading">コスト</h2> <p>Entra ID Identity Protectionは、<strong>Entra ID Premium P2</strong> ライセンスに含まれる機能です。</p> <ul class="wp-block-list"> <li><p><strong>ライセンス費用:</strong> Entra ID Premium P2は、ユーザーあたりの月額費用が発生します。P1ライセンスではEIIPを利用できません。</p></li> <li><p><strong>コスト最適化:</strong></p> <ul> <li><p><strong>適切なライセンス割り当て:</strong> EIIPのメリットを享受するには、保護対象のすべてのユーザーにP2ライセンスを割り当てる必要があります。しかし、組織全体のユーザー数に対して本当に必要なライセンス数を定期的に見直すことで、無駄なコストを削減できます。</p></li> <li><p><strong>ログストレージ費用:</strong> EIIPのログをAzure Monitor (Log Analytics) にエクスポートする場合、そのストレージと処理に対して費用が発生します。ログ保持期間の最適化や、必要なデータのみを転送する設定でコストを管理します。</p></li> <li><p>EIIP自体にスケジューリングやリザーブドインスタンスの概念はなく、ライセンス費用が主なコストとなります。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">落とし穴</h2> <p>EIIPの導入にはいくつかの注意点があります。</p> <ul class="wp-block-list"> <li><p><strong>誤検知 (False Positive):</strong> あまりにも厳しいポリシーを設定すると、正当なユーザーが頻繁にMFAやパスワードリセットを要求され、生産性が低下する可能性があります。運用開始後は、誤検知の状況を注意深く監視し、ポリシーのチューニングが必要です。</p></li> <li><p><strong>ユーザー体験の低下:</strong> 自動修復アクション（特にパスワードリセット強制）は、ユーザーに大きな負担をかけます。ユーザーへの事前通知やサポート体制の準備が不可欠です。</p></li> <li><p><strong>ライセンス不足:</strong> Entra ID Premium P2ライセンスが割り当てられていないユーザーは、EIIPの保護対象外となります。組織全体を保護するには、適切なライセンス計画が重要です。</p></li> <li><p><strong>監視と対応の欠如:</strong> ポリシーを設定しても、リスクレポートやログを定期的に監視し、必要に応じて管理者が介入しなければ、真の効果は得られません。セキュリティ運用チームとの密な連携が求められます。</p></li> <li><p><strong>既存の条件付きアクセスポリシーとの競合:</strong> 既存の条件付きアクセスポリシーとEIIPのリスクポリシーが競合しないよう、設計段階で十分に考慮し、テストを実施することが重要です。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Entra ID Identity Protectionは、今日のサイバー脅威環境において、IDセキュリティの最前線を守るための不可欠なツールです。リスクベースの適応型認証を実現し、ID侵害のリスクを大幅に軽減します。本記事で述べたアーキテクチャ、具体的な設定、運用監視、コスト最適化、そして潜在的な落とし穴を理解し、計画的かつ継続的に活用することで、組織のセキュリティ体制を飛躍的に強化できるでしょう。Entra ID Premium P2ライセンスを最大限に活用し、ゼロトラストの原則に基づく強固なID管理を確立してください。</p>

flowchart TD
    SUBGRAPH A["ユーザーとデバイス"]
        USR["ユーザー"] --> |サインイン要求| B("Entra ID");
    END

    B --> |認証情報とコンテキスト| C("Entra ID Identity Protection");
    C --> |リスク検出と評価| D{"ユーザー/サインインリスク"};
    D -- 高リスク --> E["リスクポリシー適用"];
    D -- 低リスク --> F["通常アクセス許可"];

    E --> |条件付きアクセスと連携| G("条件付きアクセス ポリシー");
    G --> |高リスクと判断| H{"アクセス制御"};
    H -- MFA要求 --> I["MFAチャレンジ"];
    H -- パスワードリセット強制 --> J["パスワードリセット"];
    H -- アクセスブロック --> K["アクセスブロック"];

    I --> |成功| F;
    I --> |失敗| K;
    J --> |成功| F;
    J --> |失敗| K;

    C --> L("管理者通知とレポート");
    E --> L;
    K --> L;
    L --> M["管理者による調査と修復"];

    M --> |ユーザーリスクの確認| USR;
    M --> |リスク状態の変更| C;

# Microsoft Graph PowerShell SDKのインストールと接続


# Install-Module Microsoft.Graph -Scope CurrentUser


# Connect-MgGraph -Scopes "IdentityRiskyServicePrincipal.ReadWrite.All", "IdentityRiskyUser.ReadWrite.All", "Policy.ReadWrite.ConditionalAccess", "Policy.ReadWrite.IdentityProtection"

# サインインリスクポリシーの更新


# 既存のポリシーを更新するため、Get-MgIdentityProtectionSignInRiskPolicy で現在の設定を取得し、必要に応じて変更します。

$signInRiskPolicyId = (Get-MgIdentityProtectionSignInRiskPolicy).Id

Update-MgIdentityProtectionSignInRiskPolicy -SignInRiskPolicyId $signInRiskPolicyId `
    -State "Enabled" `
    -RiskLevel "High" `
    -Action @{
        'ActionType' = "BlockAccess" # 検出されたリスクレベルが「高」の場合、アクセスをブロック
    }

    # または、MFAを強制する場合:


    # -Action @{


    #     'ActionType' = "Allow" # 条件付きアクセスでMFAを制御するため一旦許可


    # }

# 上記のポリシーで「Allow」を選択した場合、条件付きアクセスポリシーで対応する。


# 例: サインインリスクが「高」の場合にMFAを必須とする条件付きアクセス


# New-MgIdentityConditionalAccessPolicy ...

$userRiskPolicyId = (Get-MgIdentityProtectionUserRiskPolicy).Id

Update-MgIdentityProtectionUserRiskPolicy -UserRiskPolicyId $userRiskPolicyId `
    -State "Enabled" `
    -RiskLevel "High" `
    -Action @{
        'ActionType' = "ForcePasswordChange" # 検出されたユーザーリスクレベルが「高」の場合、パスワード変更を強制
    }