2020年9月2日水曜日

Azure Identity Protection for B2CがPublic Preview

こんにちは、富士榮です。

ずっと出ると言われていて待っていたAzure Identity Protection(リスク判定と条件付きアクセス)のAzure AD B2C対応版がようやくPublic Previewになりました。

公式Blogでのアナウンス

 Azure Active Directory External Identities goes premium with advanced security for B2C

 https://techcommunity.microsoft.com/t5/azure-active-directory-identity/azure-active-directory-external-identities-goes-premium-with/ba-p/1604572


ポイントをまとめるとこんな感じです。

  • Identity Protection
    • 基本は普通のAzure AD版のIdentity Protectionのサブセット
    • 以下の制限あり
      • B2Cテナントでのセキュリティ・センターは使えない
      • ROPCフローでは使えない
      • ローカルアカウントでしか使えない
  • 条件付きアクセス
    • 基本は普通のAzure AD版の条件付きアクセスのサブセット
    • 以下の制限あり
      • デバイス状態をベースとして条件判定は使えない(設定はできちゃいますが)
  • ビルトインのユーザ・フローでもカスタム・ポリシーでも使える
  • ライセンス
    • Premium P2 Tierが必要


一番気になるP2ライセンスの価格表ですが、月間アクティブユーザー課金で通常の利用料+1.8円程度かかるみたいですね。(契約形態などにも依存するはずなので正確にはちゃんと調べてくださいね)

https://azure.microsoft.com/en-us/pricing/details/active-directory/external-identities/


徐々に全テナントにロールアウトされるみたいですが、私のテナントではすでに使えているのでFirst Lookをとりあえず。


何はともあれPricing TierをPremium P2へ。


ビルトインフローは面倒なのでカスタム・ポリシーで。

基本的な考え方としては、①リスク評価をして、②結果によっては多要素認証などによりユーザに対応をさせて、③結果OKであればリスクを緩和する、というプロセスでUserJourneyを汲みます。

全部は紹介しませんが、とりあえずこんな感じですね。

ConditionalAccessProtocolProviderを使ったTechnicalProfileを作ってOperationTypeでリスク評価なのか緩和なのかを切り替える、という感じです。


リスク評価の結果のアクションをどうするか、については通常の条件付きアクセスと同じように設定します。

とりあえず評価だけですが、ポリシーを実行するとカスタム属性に評価結果が出てきます。


ざっとですが、こんな感じです。

サードパーティのソリューションとの連携のエコシステムもできつつある中、純正機能もどんどんリリースされるので、全体として成長していくようにキャッチアップを続けていかないといけませんね。