Skip to content

update risk policy part #1092

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Merged
ryuya-M merged 7 commits into from
Dec 16, 2025
Merged

update risk policy part #1092

Show file tree
Hide file tree
Changes from all commits
Commits
Show all changes
7 commits
Select commit Hold shift + click to select a range
1d7f198
update
jennie7pm Dec 10, 2025
499392f
Merge branch 'jpazureid:main' into main
jennie7pm Dec 12, 2025
a219ab6
update
jennie7pm Dec 12, 2025
40f0157
Merge branch 'main' of https://github.com/jennie7pm/blog into main
jennie7pm Dec 12, 2025
b334249
Update articles/azure-active-directory/starter-series-id-protection-3.md
ryuya-M Dec 16, 2025
0b47b45
Update articles/azure-active-directory/starter-series-id-protection-3.md
jennie7pm Dec 16, 2025
c1ce260
Update articles/azure-active-directory/starter-series-id-protection-3.md
jennie7pm Dec 16, 2025
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
22 changes: 19 additions & 3 deletions articles/azure-active-directory/starter-series-id-protection-3.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -64,19 +64,35 @@ Microsoft より推奨されているリスク ポリシーの制御は以下と
2. 画面左側のメニューから [保護] > [条件付きアクセス] に移動します。
3. [+ 新しいポリシーの作成] を選択します。

サインイン リスク ポリシーを作成するには以下のようにします。ここでは、指定したユーザーに対して、リスクレベル 高、中、低 のサインインのリスクを検知したときに多要素認証を求める条件付きアクセス ポリシーを作成しています。
### サインイン リスク ポリシーの作成

サインイン リスク ポリシーを作成するには以下のようにします。ここでは、指定したユーザーに対して、リスクレベル 高、中、低 のサインインのリスクを検知したときに [多要素認証] を求める条件付きアクセス ポリシーを作成しています。

![サインイン リスク ポリシーの作成](starter-series-id-protection-3/starter-series-id-protection-6.png)
![アクセス制御にて多要素認証を要求](starter-series-id-protection-3/starter-series-id-protection-16.png)

リスクの検出ごとに MFA を要求するようにサインインの頻度も併せて設定します。

![サインインの頻度を[毎回]に設定](starter-series-id-protection-3/starter-series-id-protection-13.png)

ユーザー リスク ポリシーを作成するには以下のようにします。ここでは、指定したユーザーに対して、リスクレベル 高、中 のユーザーのリスクを検知したときにパスワードの変更を求める条件付きアクセス ポリシーを作成しています。
### ユーザー リスク ポリシーの作成

ユーザー リスク ポリシーを作成するには以下のようにします。ここでは、指定したユーザーに対して、リスクレベル 高、中 のユーザーのリスクを検知したときに [リスクの修復が必要] を求める条件付きアクセス ポリシーを作成しています。
これまでは ”パスワードを変更する” のアクセス制御のみでしたが、2025 年 11 月に ”リスクの修復が必要” のアクセス制御が追加されました。
”リスクの修復が必要” のアクセス制御を使用すると、検出された脅威とユーザーの認証方法に基づいて適切な修復フローを管理します。 ”リスクの修復が必要” を要求した際のユーザーの認証方法ごとの修復シナリオの例について次の公開情報より抜粋いたします。

[リスクベースのアクセス ポリシー](https://learn.microsoft.com/ja-jp/entra/id-protection/concept-identity-protection-policies#require-risk-remediation-with-microsoft-managed-remediation-preview)

パスワード認証の場合: 危険なユーザーには、漏洩した資格情報、パスワード スプレー、侵害されたパスワードを含むセッション履歴など、アクティブなリスク検出があります。 ユーザーは、セキュリティで保護されたパスワードの変更を実行するように求められます。

パスワードレス認証の場合: 危険なユーザーはアクティブなリスク検出を行いますが、パスワードが侵害されることはありません。 考えられるリスク検出には、異常なトークン、あり得ない移動、または未知のサインイン プロパティが含まれます。 ユーザーのセッションは取り消され、もう一度サインインするように求められます。

本ブログでは、”リスクの修復が必要” のアクセス制御を使用した場合の設定例について紹介いたします。

![ユーザー リスク ポリシーの作成](starter-series-id-protection-3/starter-series-id-protection-7.png)
![アクセス制御にてリスクの修復が必要を設定](starter-series-id-protection-3/starter-series-id-protection-15.png)

"パスワードの変更を必須とする" の制御を要求した場合、[アクセス制御] > [セッション] 内にある「サインインの頻度」の項目では「毎回」のみ選択いただけます。
"リスクの修復が必要" の制御を要求した場合、[アクセス制御] > [セッション] 内にある「サインインの頻度」の項目では「毎回」のみ選択いただけます。
画面の表記に従って[毎回]を選択します。

![サインインの頻度の設定](starter-series-id-protection-3/starter-series-id-protection-14.png)
Expand Down
Binary file modified ...ve-directory/starter-series-id-protection-3/starter-series-id-protection-14.png
View file
Open in desktop
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added ...ve-directory/starter-series-id-protection-3/starter-series-id-protection-15.png
View file
Open in desktop
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added ...ve-directory/starter-series-id-protection-3/starter-series-id-protection-16.png
View file
Open in desktop
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file modified ...ive-directory/starter-series-id-protection-3/starter-series-id-protection-7.png
View file
Open in desktop
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.