【AzureAD】Sign-in Reportを使った条件付きアクセスのトラブルシューティング

皆さんいかがお過ごしでしょうか？Miyaです。

異常な高気温で毎日外に出歩くのが嫌になる季節ですが、セミの鳴き声は何故か心地よいですね。

さて、今回は機能強化(プレビュー)されたAzure ADのサインインレポートについてです。

Enterprise Mobility + Securityのブログによると、条件付きアクセスで構成したポリシーが Sign-ins/apps/users にどのように適用されているのかを確認できるようになったとのことです。
Title：Public preview for conditional access information in Azure AD Sign-ins report!

サインインレポートとは、Azure AD Premiumライセンスの機能の一つで、ユーザーのサインインアクティビティや、悪意のある第三者にID攻撃されていないかどうかを確認する機能でしたが、さらに条件付きアクセスのポリシー適用状況も確認できるよう機能強化ってことですかね。
Title：Azure Active Directory ポータルのサインイン アクティビティ レポート

「利用者からアクセス拒否の問い合わせが来たけど分からない！」って時に、サインインレポートから簡単にサインイン状況を確認、トラブルシューティング出来るのは、助かりますね。

それでは、機能強化されたAzure AD サインインレポート機能を簡単にご紹介しましょう。

Azureポータルにログイン、[Azure Active Directory]-[サインイン]へ進みます。

[列]メニューを開き、[条件付きアクセス]にチェックを入れ、[OK]でメニューを閉じます。

条件付きアクセスのカラムが追加されているのが確認出来ますね。

詳細を確認すると、ITBeginner – 標準アクセス制御のポリシーに構成されている「ハイブリッド Azure AD 参加済みのデバイスが必要」に違反している、つまり私有端末からのアクセスであるためにアクセス拒否されているのが分かります。

また、[クライアント アプリ]列では、レガシー認証の apps/users を特定することが出来ます。

レガシー認証は条件付きアクセスのポリシーを無視してアクセスするため、サインインレポートでも[適用されていません。]として表示されます。

上記問題へのアプローチとして、レガシー認証を問答無用でアクセス拒否する方法がありますが、意図しないところでレガシー認証を使っているケースを想定すると、かなり危険な行為です。
Title：Azure AD Conditional Access support for blocking legacy auth is in Public Preview!

レガシー認証のブロックに向けて、使用状況をサインインレポートから簡単に確認できるのは非常に助かりますね！