Azure Portalから、セキュリティ>IDセキュリティスコアをみると、以下のような画面が表示されます。
ここで表示されるスコア(IDセキュリティスコア)は、IDにおけるセキュリティに関して Microsoft のベスト プラクティスの推奨事項にどれだけ適合しているかを示す指標として機能するパーセンテージです。
ID セキュリティ スコアとは - Azure Active Directory - Microsoft Entra | Microsoft Learn
各改善アクションをクリックすると、スコアへの影響や、対処方法・影響などが表示されます。このアクションにそって対応を行うことで、セキュリテイスコアが改善する(Microsoft のベスト プラクティスの推奨事項に準拠していく)ことが可能ということになります。
なお、スコアの反映まで最大で48時間かかることがあるのでその点に注意です。最終更新日時は表示(上図の赤枠内)されているので、それから反映までに最大48時間かかるということになります。
また、有効化にあたり、Azure AD Identity Protectionが必要(Azure AD P2が必要)な項目もあります。以下はサインインリスクポリシーを有効化しなさい、という改善アクションですが、Azure AD P2のライセンスを持っていない場合は、ポリシーをオンにできません。
改善アクションにある操作をしようとしても、ライセンスを持っていない場合は、「ポリシーを適用する」がグレーアウトされており、オンにできないようになっています。
IDセキュリティスコアは、組織のセキュリティレベルを上げるにあたって非常に便利な機能ですが、実運用を開始してしまってからだとなかなか変更しにくいと思うので、運用開始前に一通り見ておくと良いかもしれないなぁと思いました。
改善アクションの状態を「リスクの許容」にしてもスコアは上がらない
また、環境によっては対処が不要なものなどがあると思います。
例えば、緊急アクセス用アカウントを作成している場合には、「セキュリティで保護されたアクセスのためにすべてのユーザーが多要素認証を完了できることを確認する」という改善アクションの対応はできません。(緊急アクセス用アカウントが他要素認証の対象外となるため。)
この場合は、改善アクションの「状態」のところで「リスクの許容」を選択することになりますが、これを選んだとしてもスコアは上がらないようでした。
