ある企業のグローバル管理者が、Entra ID Protection のユーザーリスクポリシーを設定した。「高リスク」と判定されたユーザーに対してパスワードリセットを要求するよう設定している。高リスクと判定されるシナリオとして最も適切なものはどれか。
- A. ユーザーのパスワードが流出したと思われる漏洩データベースに含まれていることを検出した
- B. ユーザーが30日間サインインしていない非アクティブ状態である
- C. ユーザーが通常と異なる時間帯(深夜)にサインインしようとした
- D. ユーザーが新しいデバイスからはじめてサインインした
解答と解説を見る
正解: A
Entra ID Protectionのユーザーリスクは、そのアカウント自体が侵害されている可能性を評価する。パスワードが流出したと思われる漏洩データベースへの検出(Leaked Credentials)は高リスクシグナルの典型例であり、攻撃者がすでにパスワードを持っている可能性があるためパスワードリセットが必要となる。選択肢Dの新しいデバイスからのサインインはサインインリスク(不慣れなサインインの特性)として検出されることがあるが、それ自体は通常高ユーザーリスクとはならない。選択肢Cの深夜のサインインも特殊なサインインパターンとして検出されることがあるが、単独では高ユーザーリスクの主要シグナルとはならない。選択肢Bの非アクティブ状態はEntra ID Protectionのリスク評価対象ではなく、アクセスレビューや使用状況レポートで管理する領域である。