はじめに
こんにちは、Identityチームのすかんくです。最近はレーズンにハマっています。
今回はMicrosoft Entra条件付きアクセスポリシーにて、Policy Impactと呼ばれる機能がプレビューでリリースされたので検証してみた感触について書いていこうと思います。
TL;DR
- 条件付きアクセスポリシーでは、本番展開前にレポート専用モードを使用して影響度を調査することが推奨されています
- これまで、レポート専用モードの結果を集計・分析するためのGUI機能は提供されておらず、SIEM基盤へログを転送するか、Graph APIを利用する必要がありました
- 新しく提供されたPolicy Impact機能によって条件付きアクセスポリシーの影響度を数クリックで確認できるようになりましたが、レポート専用モード展開前の事前調査に用いるには機能面で十分とは言えず、引き続き従来通りの手順も利用する必要があります
本題
Policy Impactの確認手順
- Entra ID 管理センター(https://entra.microsoft.com/)にて、[保護]- [条件付きアクセス] – [ポリシー] から、影響度を確認したいポリシーをクリック(今回はレポート専用モードで展開している
testポリシーを選択)
- [ポリシーの影響を表示する] をクリック
- 表示された画面には条件付きアクセスで評価されたか結果が集計/表示されるため、[期間/結果] を用いて出力を調整(今回はわざと全て失敗となるようなポリシーを組んでテストしています)
- グラフ内の値をクリックすることで、当該日付のサインインログをサンプルとして表示し、対象アプリケーションを確認することが可能
- 特定サインインログの [・・・] – [サインインログの表示] をクリックすることで、サインインログの詳細を確認することが可能
注意
現時点ではレポート専用モードの [サインインログの表示] をクリックしてもログが表示されません
※原因は遷移先のGUIで本番適用時の [失敗] フィルタを自動適用してしまうため
当該ログを表示するには通常の [サインインログ] 画面を表示し 、[日付] や [要求ID] で検索を行っていただく必要があります
良い点
- 従来のレポート専用モードでは管理画面での出力確認が1レコードずつ必要でしたが、Policy Impactでは数クリックでポリシー適用後の影響度を確認できるようになりました
- ポリシーをすぐに適用できるか、調整が必要かの判断が非常に容易になりました
期待と異なる点
- 前述の[注意]で記載した通り、レポート専用モードの生ログへスムーズに遷移できません
- [サインインログ]サンプルをダウンロードできません
実務利用上の課題
Policy Impactではユーザー、デバイス、アプリケーション別の集計ができないため、条件付きアクセスポリシーの調整作業を想定した場合、現時点の機能では不十分と言えます。
(=ポリシーの調整が必要なケースでは、Policy Impactではなく従来の手順で適用結果を確認する必要がある)
そのため、まずPolicy Impactで有効性を評価し、調整が必要な場合は従来通りの集計作業を行うという手順での活用が望ましいでしょう。
参考:【Entra ID】条件付きアクセスのレポート専用モードで展開したポリシーの適用結果をGraph API(PowerShell)で集計する
機能改善への要望
- [サインインログ]サンプルを日別だけでなく、指定期間での一括表示に対応してほしい
- [ユーザー]や[アプリケーション]などでのフィルタリング機能が欲しい
- [サインインログ]サンプルの時刻表示をUTCだけでなく、現地時刻にも対応してほしい
おわりに
今回はMicrosoft Entra条件付きアクセスポリシーのPolicy Impact機能について検証してみましたが、まだまだ改善の余地がある印象です。
一方、ポリシーの影響度を手軽に確認できるようになった点は大きな進歩であり、今後のアップデートに期待してアップデートをウォッチしていきたいと感じました。ではまた!
参考資料とリンク
- Policy impact (Preview)
- 【Entra ID】条件付きアクセスのレポート専用モードで展開したポリシーの適用結果をGraph API(PowerShell)で集計する
