Insights リスク分析
Insights のリスク分析では、Microsoft 365 テナント内に存在する、あらゆるリスクを可視化したレポートを確認できます。
リスク分析では、概要、詳細レコード の2種類のレポートがあります。
概要
Microsoft 365 テナント内の各ワークスペースごとのリスク状況の概要を確認できます。
デフォルトの表示では、[Microsoft Teams] のワークスペースについて、各要素ごとのチーム数が表示され、クリックすることにより、危険な要素を持つアイテム数が表示されます。
詳細レコード
Microsoft 365 テナント内のすべてのオブジェクトのリスク状況と権限状況を確認できます。
デフォルトの表示では、[Microsoft Teams] のワークスペースについて、危険度高と中のオブジェクトが表示されます。レコードの左側にチェックを入れて、リスクレベルが高いオブジェクトに対して以下のアクションを実施できます。
- 選択したアイテムのエクスポート … オブジェクトのリスクや権限情報を出力できます。
- 秘密度ラベルの管理 … オブジェクトに対してラベルの付与や変更を実施できます。
- 通知 … 危険なオブジェクトが検知された際に、サイトやチームの管理者に知らせることができます。
- タグの追加 … 管理しやすくするためにオブジェクトに対してタグをつけることができます。
Insights 露出
露出 では、Microsoft 365 テナントに存在する露出リスクのあるユーザーまたはコンテンツのレポートを確認できます。レポートは、外部に露出、[すべてのユーザー] に露出、共有リンク、外部との過剰共有 の4種類があります。
外部に露出
外部ユーザーに関するレポートです。
それぞれの件数が表示されており、名前をクリックして該当ユーザーの一覧を確認できます。
[すべてのユーザー] に露出
すべてのユーザー / グループに対して権限が付与されているサイトコレクションや機密アイテムのレポートです。
それぞれの件数が表示されており、名前をクリックして該当ユーザーの一覧を確認できます。
※ すべてのユーザーのグループの利用が無効になっている場合、上部に警告メッセージが表示されます。
共有リンク
各種共有リンクの合計数、機密アイテム、機密リンクの統計に関するレポートです。
数字が1以上の場合、リンクをクリックして関連データが表示された詳細レポートを確認できます。また、機密リンク列内の [詳細の表示] をクリックして該当するリンクの一覧を確認できます。
外部との過剰共有
外部ユーザー / グループがフルコントロール権限を持っているオブジェクトのレポートです。
該当オブジェクトの一覧が表示され、Insights でオブジェクトの削除または編集ができます。
Insights ユーザー
Insights のユーザーでは、Microsoft 365 テナント内のユーザーに関するレポートを確認できます。ここでは、概要、外部ユーザー、孤立したユーザー、外部ユーザーを含むグループ、ゴーストゲストユーザー、危険なユーザー の6種類のレポートがあります。※ 本ガイドでは、使用頻度の高い 危険なユーザー についてのみ紹介します。
危険なユーザー
[Entra 検出]タブにて、マイクロソフトが定義するセキュリティ基準でリスクが高いユーザーの一覧を確認できます。
検出されたユーザーに対して、右側の […] から以下の情報を確認できます。
- アクセスレポートのエクスポート … 該当ユーザーのサマリー レポートとアクセス レポートをエクスポートできます。
- アクティビティの表示 … 該当ユーザーが権限を持っているオブジェクトに対するユーザーのアクティビティを一覧で確認できます。
- サインインイベントの表示 … 該当ユーザーのサインイン イベントを一覧で確認できます。
- リスク検出 … 該当ユーザーの検出されたリスクの詳細を確認できます。
また、レコードの左側にチェックを入れて、危険なユーザーに対して以下のアクションを実施できます。
- 選択したアイテムのエクスポート … 該当ユーザーのテナント上のアクティビティ情報や権限情報を出力できます。
- ユーザーに対するセキュリティ侵害の確認 … Microsoft Entra ID において、該当ユーザーのステータスを「セキュリティ侵害確認済み」に更新します。ステータスの変更とともに、Microsoft Entra ID のセキュリティポリシー設定に基づき、サインインのブロックなど必要なアクションが自動的に実行されます。
- ユーザーの安全の確認 … 検出された行為を、セキュリティ上問題ないこととし、リスクを取り消して誤検知としてマークします。今後、該当ユーザーに対して同じ行為はリスクのある行動として検知しなくなります。
- ユーザーリスクの無視 … 該当ユーザーに対して検出したリスクを無視します。
※ この方法では、Insights を通してユーザーの既存のパスワードの変更はされないため、今後も同じリスクが検知される可能性があります。そのため、ユーザーに連絡してリスクがあることを知らせ、状況を確認してから、場合によってパスワードの変更を促すなどの運用と併用することを推奨します。 - サインインのブロック … 該当ユーザーを Microsoft 365 へのサインインからブロックします。
- ユーザーのブロック解除 … 該当ユーザーのブロックを解除し、Microsoft 365 へログイン可能な状態へ戻します。
※ こちらは選択したユーザーがブロックしたユーザーの場合、実行できるアクションです。
※ データの統計は Microsoft 側で実行されるため、Microsoft Entra ID P2 ライセンスが必要です。
※ 検出されたリスクの定義については、マイクロソフトの公式記事 をご確認ください。
Insights 検索センター
検索センター は、Insights における検索機能を集約したインターフェイスです。ユーザー、グループ、オブジェクト、サイトコレクションなどに対する権限状況や機密情報の分布を、効率的に把握するためのツールです。
検索手法は、クイック検索、検索プロファイル の2種類があります。
クイック検索
オブジェクト単位で検索し、該当する権限状況や詳細情報を表示できます。
ユーザー / グループ、Microsoft 365 オブジェクト、Power BI、AI エージェント のオブジェクトタイプを検索することができます。
詳細は、ユーザーガイド をご参照ください。
検索プロファイル
複数のオブジェクトを一括で検索し、広範囲の権限状況や詳細情報を定期的に表示できます。
例えば、特定ドメインの外部ユーザーを抽出し、チームやサイトへのアクセス権限や利用状況を定期的に確認したい場合は、検索プロファイルを作成してレポート形式で状況を確認することができます。これにより、対象ユーザーの権限や機密情報へのアクセス状況を一覧で把握でき、継続的な監視や改善に役立ちます。
検索プロファイルの作成方法は、ユーザーガイド をご参照ください。
Insights アクティビティ エクスプローラー
アクティビティ エクスプローラー は、特定タイプのアクティビティを表示することができます。
※アクティビティは、AOS プラットフォーム の レポートデータコレクション の保持期間にて設定し収集したものになります
アクティビティのタイプは、Microsoft 365 アクティビティ、Entra 監査ログ、Entra サインイン の3種類があります。
Microsoft 365 アクティビティ
M365 環境においてユーザーが行った操作(SPOやTeamsなど)の記録を確認できます。
アクティビティの期間、ユーザー範囲、アクティビティのタイプ を指定して、表示するレポート内容を絞り込むことができます。
Entra 監査ログ
Entra ID で発生したアプリグループやユーザーライセンスに対する変更を確認することができます。
アクティビティの期間、アクティビティ範囲 を指定して、表示するレポート内容を絞り込むことができます。
Entra サインイン
Entra テナントへのすべてのサインインアクティビティを確認することができます。
Microsoft のサインインログには、ユーザー サインイン(対話型)、ユーザー サインイン(非対話型)、サービスプリンシパルのサインイン、マネージド ID のサインイン の4種類があります。詳細は マイクロソフトの公式記事 をご確認ください。
Insights では、直近一か月のログを確認できます。
